การจัดการไวรัส SSCVIHOST.EXE

เนื่องจากขณะนี้ปรากฏว่า มีหนอนไวรัส ชื่อ SSCVIHOST.EXE (จะมีชื่อ SSCVIHOST และ New Folder.exe อยู่ในเครื่อง จำลองตนเองว่าเป็นส่วนหนึ่งของระบบวินโดวส์) จาก Wizard Hacker มาจากเวียดนามแล้วมาต่อที่มาเลเซีย ติดต่อผ่านทางเครื่องคอมพิวเตอร์ โทรศัพท์มือถือ แฮนด์ดี้ไดรฟ์ และอุปกรณ์เชื่อมต่อสื่อบันทึกข้อมูลทุกชนิด (เริ่มปรากฏตัวตั้งแต่วันที่ 5 เมษายน2550 และเริ่มแสดงผลและมีความรุนแรงเรื่อยมา- สังเกตได้จากเครื่องรวนและช้ามากผิดปกติ) ซึ่งไวรัสจะมีผลดังนี้

1. เข้าปิดกั้นประสิทธิภาพและทรัพยากรพลังงานการทำงานขอ งเครื่องคอมพิวเตอร์มีความเร็วลดลงอย่างมาก เครื่องจะทำการรีบูตเอง หรือลักหลับเปิดตัวเองอยู่เสมอ (ไม่มีแสดงตนว่าเปิดเครื่องอยู่ แต่มีการใช้ไฟฟ้า-อาการคือ Power Supply จะมีความร้อนมากอยู่ตลอดเวลาแต่ใบพัดลมไม่หมุนถึงแม้ ว่าจะปิดสวิตช์แล้ว-ยกเว้นท่านถอดปลั๊กไฟออกจากเต้าเสียบ) จนถึงเดี้ยงได้
2. หนอนไวรัส จะเข้าทำการเปลี่ยนแปลงค่าระบบ Registry Entry และ Properties Setting ทั้งระบบ จนไม่สามารถจะแก้ไขได้ในบางกรณี และท้ายสุดทุกกรณี
3. ทำลายอุปกรณ์เชื่อมต่อทุกตัวให้เกิดความผิดพลาดในการ ใช้งาน และเมื่อเปิดใช้งานนานๆ ตัวหนอนไวรัสจะทำลายระบบ ROM และ RAM (หน่วยความจำ) เครื่องของท่าน ทันที
4. การใช้งานมัลติมีเดีย รวมถึงโปรแกรมต่างๆ จะไม่สามารถทำได้ง่ายๆ จนถึงไม่สามารถทำงานได้เลย
5. มีการปิดกั้นพอร์ตเชื่อมต่อต่างๆ และทำลายอย่างสิ้นเชิง เริ่มตั้งแต่พอร์ตการใช้งานอินเทอร์เน็ต เม้าส์ คีย์บอร์ด โดยการสกัดสัญญาณ เนื่องจากผู้สร้างมีความประสงค์ร้ายต่อตัวอุปกรณ์ ไม่ประสงค์จะเผยแพร่ทางอินเทอร์เน็ต เนื่องจากจะถูกตรวจพบได้ง่ายนั่นเอง (สงสัยจะเป็นพวกทำมาหากินกับการซื้อขายพัสดุอุปกรณ์ป ระเภทนี้แฮะ…)

1. เทคนิคการป้องกันการติดเชื้อ และบรรเทาอาการ ให้ลง ARDV 1.02 หรือศูนย์เตือนภัยตัว T และลง NOD 32 รุ่น 2.7.39 หรือสูงกว่า หรืออัพเดตผ่านอินเทอร์เน็ต เมื่อเสียบไดร์ฟเข้ากับเครื่องหาก ตัว T กระพริบเป็นสีเขียว เหลือง หรือแดง ห้ามเปิดไฟล์เด็ดขาด ให้คลิกที่ ไอคอน NOD 32 แล้วเลือกสแกนฆ่าเฉพาะไดร์ฟที่เชื่อมต่อเท่านั้น(อย่ า..เลือกการสแกนทั้งหมดจะทำให้เชื้อมีโอกาสตรวจพบการ ตรวจจับก่อน และรีบแฝงเข้าระบบทันที) ทั้งนี้เป็นการป้องกันการติดเชื้อเข้าเครื่องเท่านั้ น และลบไฟล์ SSCVIHOST ได้เฉพาะสื่อพ่วงต่อเท่านั้น หากมีอยู่ในเครื่องแล้วไม่สามารถกำจัดได้ จะต้องลงวินโดว์ใหม่เลยคับ

เป้าหมายของ ARDV

ในปัจจุบันปัญหาคอมพิวเตอร์ปัญหาหนึ่งที่ผู้ใช้งานคอ มพิวเตอร์ส่วนใหญ่ต้องเผชิญอยู่ทุกๆวัน คงหนีไม่พ้นไวรัสคอมพิวเตอร์ ในอดีตไวรัสที่ประสบความสำเร็จในการสร้างความเสียหาย ส่วนใหญ่จะต้องอาศัยช่องโหว่สำคัญที่อยู่ในระบบปฎิบั ติการ แต่ในปัจจุบันทางผู้ผลิตซอฟแวร์ต่างๆ ก็ให้ความสำคัญกับความปลอดภัยในโค้ดซอฟแวร์ของพวกเขา มากขึ้น โดยเฉพาะระบบปฏิบัติการที่เรารู้จักกันดีก็คือ Windows ของบริษัท Microsoft ที่ได้หาทางป้องกันปัญหาต่างๆที่ไวรัสอาจนำเอาไปใช้ใ นการแพร่กระจาย แต่อย่างไรก็ตามไวรัสยังคงสามารถแพร่ระบาดในวิธีอื่น ๆ อีกถึงแม้ความรวดเร็วจะไม่มีมากเหมือนแต่ก่อน โดยอาศัยช่องทางที่สำคัญอีกทางที่กำลังจะกล่าวถึงก็ค ืออุปกรณ์ดิสแบบถอดได้ (Removable Disk) หรือที่เราเรียกว่าแอนดี้ไดร์วนั่นเอง จริงๆแล้วช่องทางนี้ไม่ได้ใหม่อะไร หากย้อนกลับไปในอดีตไวรัสก็เคยแพร่กระจายผ่านทางแผ่น ดิสมาแล้ว แต่ในปัจจุบันอุปกรณ์ที่เข้ามาแทนที่แผ่นดิสก็คงเป็น แฮนดี้ไดร์วอย่างไม่ต้องสงสัย จากคุณสมบัติที่เพิ่มมากขึ้น ทำให้กลายเป็นอุปกรณ์ที่ได้รับความนิยมจากผู้ใช้ ไวรัสก็เริ่มพัฒนาตามลงมาอาศัยอยู่ในอุปกรณ์พวกนี้ด้ วย เพราะพาหะตัวนี้ดูเหมือนจะมีมากขึ้นเรื่อยๆ หนทางในการจัดการป้องกันไวรัสที่มากับอุปกรณ์พวกนี้จ ากซอฟแวร์แอนตี้ไวรัสปัจจุบัน ยังมีน้อยมาก ส่วนใหญ่ถ้าซอฟแวร์พวกนี้จะลบไฟล์ไวรัสได้จำเป็นจะต้ องมีการพิสูจน์และวิเคราะห์จากทางผู้ผลิตและอัพเดต ฐานข้อมูลไวรัสผ่านทางอินเตอร์เน็ตก่อน ซึ่งเป็นวิธีการที่ดีที่สุดที่จะรับประกันได้ว่าจะไม ่มีการลบผิดตัวอย่างแน่นอน ซึ่งหากเกิดเรื่องแบบนี้ขึ้นก็คงสร้างความไม่ไว้วางใ จจากผู้ใช้และคงส่งผลต่อความนิยมของซอฟแวร์แอนตี้ไวร ัสนั้นๆ ด้วย
จากปัญหาที่เคยประสบมา เราทำได้แต่รอให้ไวรัสพวกนี้ติดเข้าเครื่องแล้วก็ร้อ งขอความช่วยเหลือจากซอฟแวร์ป้องกันไวรัส ดูเหมือนเรากำลังเล่นซ่อนหากันอยู่ ทันทีที่ไวรัสถูกค้นพบ ซอฟแวร์แอนตี้ไวรัสส่วนใหญ่ก็จะอัพเดตตัวเองผ่านทางอ ินเตอร์เน็ตแล้วก็กำจัดไวรัสได้ แต่อีกมุมหนึ่งของเมืองคนเขียนไวรัสก็นั่งเขียนไวรัส ตัวใหม่แล้วก็ลองรันในเครื่องของเขาที่ได้ติดตั้ง ซอฟแวร์แอนตี้ไวรัสจากทุกๆบริษัทดังๆเพื่อหาวิธีที่จ ะให้ไวรัสของเขาไม่ถูกตรวจพบ แน่นอนเขาทำสำเร็จแน่เพราะวิธีที่จะทำให้ไม่ถูกตรวจพ บมีมากมายนับไม่ถ้วนที่เดียว บางครั้งแค่แก้ไขโค้ดเพียงบรรทัดเดียว ซอฟแวร์แอนตี้ไวรัสที่เคยเป็นศัตรูกับกลายเป็นมิตรอย ่างหน้าตาเฉย
ผู้ที่เดือนร้อนของหนีไม่พ้นผู้ใช้คอมพิวเตอร์ทุกๆคน ทั้งเครื่องคอมพิวเตอร์ส่วนตัว เครื่องสาธารณะอย่างคอมพิวเตอร์ในมหาวิทยาลัย คอมพิวเตอร์ในร้านอินเตอร์เน็ต ไม่เพียงเท่านั้น คอมพิวเตอร์เหล่านี่กลายเป็นเครื่องผีดิบที่เป็นแหล่ งสำรองทัพของพวกไวรัส เพราะคอมพิวเตอร์เหล่านี้ มีคนมากหน้าหลายตามาใช้งานไม่เว้นแต่ละวัน และเชื่อเป็นอย่างยิ่งว่า ผู้ใช้ส่วนใหญ่มีแฮนดี้ไดร์ว ติดตัวกันทุกคน และอดไม่ได้ที่จะมีการเชื่อมต่อมันกับคอมพิวเตอร์เหล ่านี้ เมื่อไปใช้คอมพิวเตอร์ที่ทำงาน บ้าน มหาวิทยาลัย หรือที่อื่นๆ มันก็จะแพร่กระจายไปที่นั่นด้วย และก็คงแก้ไขปัญหากันไม่สิ้นสุด ยกตัวอย่างเช่น หมู้บ้าน A ติดไวรัส คนจากหมู่บ้าน B มาใช้งานแค่คนเดียวและครั้งเดียวกลับไปที่หมู่บ้าน B เป็นช่วงที่หมู่บ้าน A ลงทุนกำจัดไวรัสจนหมดไปจากหมู่บ้าน เชื่อเถอะว่าสักวันไม่คนใน หมู่บ้าน A ก็ B ต้องนำไวรัสกลับมาในหมู่บ้าน A อย่างเดิม ผมเคยคิดเล่นๆไว้ว่าถ้าเราจะกำจัดไวรัสจริง คงต้องตัดการเชื่อมต่อทั้งคนและเครือข่ายหรือไม่ก็ปิ ดเครื่องคอมพิวเตอร์พร้อมๆกันทั้งโลก ซึ่งมันไม่มีทางทำได้ ฉะนั้นการแก้ไขที่ปลายเหตุของไม่ใช่ประเด็น เราควรป้องกันเสียดีกว่า เมื่อเรารู้อยู่แล้วไม่อาจหยุดยั้งการกระทำของคนเขีย นไวรัสได้ เราก็ป้องกัน หากเราจะกำจัดมันให้ได้ทุกตัวคงเป็นเรื่องยากมากๆ สิ่งที่ทำได้ซึ่งมันก็เพียงพอแล้วสำหรับคนใช้คอมพิวเ ตอร์ ก็คือศึกษามันและป้องกันก็เพียงพอ
ทั้งหมดนี้คือที่มาของโปรเจคเล็กๆ ที่เขียนโปรแกรมขึ้นโดยไม่ได้มีความยุ่งยากและซับซ้อ นอะไร จุดประสงค์จริงๆของโปรแกรมนี้เพื่อตัดการเชื่อมต่อไว รัสที่มากับแฮนดี้ไดร์วก่อนที่จะเข้าสู่คอมพิวเตอร์ หลักการง่ายๆที่ผมยึดก็คือ “เราไม่มีสิทธิลบไฟล์ใดๆของผู้อื่น ตราบใดที่เรายังไม่สามารถระบุได้อย่างแน่ชัดว่าไฟล์น ั้นไม่ปลอดภัยต่อเครื่องของเขา เราทำได้เพียงยกเลิกคำสั่งที่เสี่ยงลงเท่านั้น” หลักการง่ายๆแค่นี้แต่สามารถป้องกันเครื่องจากไวรัสอ ย่างได้ผล กล่าวคือ ไม่ว่าอุปกรณ์ที่มาเชื่อมต่อนั้นจะมีไวรัสอะไรก็ตามโ ปรแกรมจะไม่สนใจทั้งสิ้น เพราะมันจะไม่มีโอกาสได้รันหรือทำคำสั่งอะไรบนเครื่อ งของเรา อย่างเด็ดขาด หากผู้ใช้ไม่ได้ร้องขอเป็นกรณีพิเศษ ไฟล์ไวรัสที่อยู่ในแฮนดี้ไดร์วจะไม่ถูกลบแต่จะไม่ทำง าน ด้วยวิธีนี้ถึงแม้ไวรัสจะถูกเขียนขึ้นมาใหม่กี่ครั้ง กี่หนก็ไม่สามารถติดเชื้อเครื่องของเราได้ เพราะบันไดขั้นแรกของการ ทำงานของมันถูกตัดขาด ถึงแม้ว่าขั้นที่สอง สามของไวรัสจะเต็มไปด้วยความสามารถในการสร้างความเสี ยหาย ระบบการแพร่กระจายที่รวดเร็วไร้ข้อผิดพลาด เท่ากับว่าทั้งหมดสูญเปล่า
ไฟล์ไวรัสคือไฟล์ที่สามารถรันได้ซึ่งมีอยู่หลายนามสก ุล เช่น
*.exe *.com *.scr *.pif *.bat *.vbs *.js *.cmd
ซึ่งเราสามารถตรวจสอบในเบื้องต้น หากพบไฟล์นามสกุลพวกนี้ โดยไม่ทราบแหล่งที่มา ขนาดไฟล์ไม่ใหญ่(เพราะหากเป็นไวรัส ขนาดไฟล์ตัวเองที่ใหญ่นั้นอาจทำให้การเคลื่อนที่ไฟล์ ไม่สะดวก) ก็ให้สงสัยไว้ก่อนเลยว่าเป็นไวรัส

การทำงานของ ARDV

ARDV ได้แบ่งการตรวจสอบไฟล์และลักษณะไฟล์ที่เข้าข่ายรูปแบ บของไวรัสซึ่งแบ่งออกเป็น 3 กลุ่มดังนี้
1. Auto Run Spreading คือเทคนิคที่กำลังถูกนำมาใช้เป็นอย่างมากเนื่องจากมี โอกาสที่แพร่กระจายได้มาก ไวรัสจะสร้างไฟล์ autorun.inf ในการรันตัวเองสู่ระบบ ไวรัสประเภทนี้เช่น Hacked By Godzilla
รูปแบบ ไฟล์ autorun.inf + ไฟล์ไวรัส[นามสกุลที่รันได้] -> เชื่อมต่อกับเครื่องคอมพิวเตอร์ทางพอร์ต USB -> ระบบปฎิบัติการรับตำแหน่งไฟล์ไวรัส -> ดับเบิลคลิกไดร์ว -> ไวรัสถูกรันบนเครื่อง
2. Fake Folder Spreading คือ เทคนิคที่ทำให้โฟลเดอร์จริงถูกซ่อนไว้ ไวรัสจะทำตัวเองเหมือนโฟลเดอร์ ไวรัสจะสามารถแพร่กระจายได้ เนื่องจากผู้ใช้จำเป็นจะต้องเข้าไปทำงานในโฟลเดอร์ ไวรัสที่ใช้เทคนิคนี้ เช่น Flashy
รูปแบบ ไวรัสตรวจสอบชื่อโฟลเดอร์ -> คัดลอกไฟล์ไวรัส[นามสกุลที่รันได้]โดยใช้ชื่อโฟลเดอร์หรือบางส่วนที่พบมาตั้งชื่อ -> ซ่อนโฟลเดอร์จริงจากผู้ใช้ -> สร้างฟังก์ชั่นเพื่อจัดการโฟลเดอร์นั้นๆ -> คลิกเรียกดูงานในโฟลเดอร์ -> ไวรัสถูกรันบนเครื่อง
3. Sub Folder Spreading คือ เทคนิคที่ไวรัสนำชื่อโฟลเดอร์ไปเป็นส่วนหนึ่งของชื่อ ไฟล์ไวรัสในโฟลเดอร์นั้นๆ เทคนิคนี้ถือเป็นเทคนิคในไวรัสรุ่นแรกๆที่ได้อาศัยแฮ นดี้ไดร์วในการแพร่กระจายก็ว่าได้ ไวรัสที่ใช้เทคนิคนี้ เช่น Brontok.A
รูปแบบ ไวรัสตรวจสอบชื่อโฟลเดอร์ -> คัดลอกไฟล์ไวรัส[นามสกุลที่รันได้]ซ้อนลงไปในโฟลเดอร์นั้นๆโดยใช้ชื่อโฟลเดอร์หรือบา
งส่ วนที่พบมาตั้งชื่อ -> คลิกเรียกดูงานในโฟลเดอร์ -> คลิกไฟล์ไวรัส -> ไวรัสถูกรันบนเครื่อง
ARDV ช่วยป้องกันอะไรได้บ้าง?

1.สามารถป้องกันไวรัสที่ใช้วิธีการสร้างไฟล์ autorun.inf ลงในอุปกรณ์ดิสแบบถอดได้ทุกชนิด และแพร่กระจายตัวเองไปเรื่อยๆ ARDV จะใช้วิธีการตรวจสอบไฟล์ autorun.inf และยกเลิกคำสั่งของไฟล์ ซึ่งทำให้ไวรัสไม่สามารถรันตัวเองเข้าสู่ระบบได้โดยเ ทคนิค autorun อีกต่อไป(หมายเหตุ:สามารถป้องกันไวรัสรูปแบบนี้ใหม่ๆ ต่อไปในอนาคตด้วย)
2.ลดโอกาสเสี่ยงที่จะติดไวรัสที่สร้างไฟล์เลียนแบบชื ่อโฟลเดอร์ โดยใช้วิธีการวิเคราะห์ชือไฟล์กลุ่มเสี่ยง(รันได้)กั บชื่อโฟลเดอร์ร่วมกับวิเคราะห์จำนวนไฟล์ที่พบในโฟลเด อร์นั้นๆ และจะย้ายไฟล์เสี่ยงทั้งหมดไปกักไว้ในโฟลเดอร์ “ardv_suspicious_file(s)” ผู้ใช้สามารถตรวจสอบไฟล์และสามารถลบโฟลเดอร์นี้ทิ้งไ ด้ทันทีเมื่อเห็นว่าเป็นไฟล์ที่ไม่รู้จัก อย่างไรก็ตามควรระวังอย่างรันไฟล์ในโฟลเดอร์ “ardv_suspicious_file(s)” นอกจากว่ามั่นใจว่าเป็นไฟล์ที่คุณเป็นเจ้าของ

เพิ่มเติม:ผู้พัฒนาหวังเป็นอย่างยิ่งว่านี่คือจุดจบข องไวรัส Autorun อย่างสมบูรณ์ในเครือข่ายคอมพิวเตอร์!

ผลการทดสอบ ARDV เบื้องต้น

จากการทดสอบการทำงานบนระบบปฎิบัติการ Windows XP รายชื่อไวรัสที่ร่วมทดสอบแล้วมีดังนี้ Hacked by Godzilla, Hacked by Mozilla, Hacked by (ComputerName), Hacked by 8BIT, HELLO WORLD i am VB, killVBS.vbs, CHEAT.VBS ORIGINAL SILLE.B run on GAME ONLINE, Flashy.exe ,Music.exe, AdobeR.exe, BrontokA-B-Al และไวรัสที่เขียนขึ้นเพื่อทดสอบประสิทธิภาพ ARDV อีก 2 ตัวที่สามารถแก้ไขรูปแบบชื่อโฟลเดอร์(ทดสอบฟังก์ชั่น Sub&Fake) ผลออกมาอยู่ ในระดับที่น่าพอใจ แต่อย่างไรก็ตาม หากพบข้อผิดพลาดจะได้ดำเนินการแก้ไขในรุ่นต่อๆไป ทั้งนี้ต้องได้รับความร่วมมือและความกรุณาจากผู้ใคอม พิวเตอร์ให้ช่วยกันรายงานข้อผิดพลาดที่พบกับมาที่ผู้ พัฒนาด้วย
ดาวน์โหลด ARDV

ข้อตกลงการใช้งาน :
1.โปรแกรมนี้ใช้งานได้ฟรีสำหรับผู้ที่สนใจ อนุญาติให้มีการคัดลอก แจกจ่าย โดยไม่ต้องเสียค่าใช้จ่ายใดๆทั้งสิ้น และห้ามทำการซื้อขายโปรแกรมนี้อย่าเด็ดขาด
2.ไม่อนุญาติให้แก้ไขหรือดัดแปลงโค้ด ไม่ว่าจะด้วยวิธีและเหตุผลใดๆก็ตามที่ทำให้การทำงานไ ม่เหมือนเดิม
3.โปรดทำความเข้าใจ โปรแกรมมีขีดจำกัดในการทำงาน
4.ต้องตรวจสอบระบบที่โปรแกรมรองรับก่อนใช้งาน
5.ผู้พัฒนาไม่ขอรับผิดชอบหากการทำงานของโปรแกรมส่งผล ต่อบุคคลหรือขัดขวางการทำงาน กรณีเป็นเครื่องคอมพิวเตอร์ส่วนรวม ผู้ดูแลระบบควรเป็นผู้ควบคุมการใช้งานเท่านั้น

ระบบปฎิบัติการที่รองรับ:
Microsoft Windows 98 SE
Microsoft Windows Server 2003
Microsoft Windows XP
หมายเหตุ:ระบบปฏิบัติการนอกเหนือจากนี้ที่เป็นตระกูล Windows NT อาจจะรองรับทั้งหมด(ยังไม่เคยทดสอบ)