ไวรัสที่สามารถแพร่เข้าสู่ไฟล์ .JPEG
W32.Perrun เป็นไวรัสที่สามารถแพร่เชื้อใส่ไฟล์ชนิด .jpg และ .txt ได้โดยการเติม code ของตัวมันต่อท้ายไฟล์ต้นฉบับ อย่างไรก็ดีส่วนที่เป็น code ของไวรัสนี้
ยังไม่สามารถแพร่กระจายเชื้อไวรัสไปยังเครื่องคอมพิ วเตอร์เครื่องอื่นได้เองในขณะนี้ ข้อมูลรูปภาพเดิมในไฟล์ .jpg ต้นฉบับที่ติดไวรัสนี้จะไม่สามารถแสดงขึ้นมาบนจอ
มอนิเตอร์ได้ถ้ าหากในเครื่องของเราไม่มีไฟล์ Shimgvw.dll ติดตั้งไว้ในไดเรกทอรี C:WindowsSystem และข้อความเดิมในไฟล์ .txt ต้นฉบับจะไม่สามารถอ่าน
จากไฟล์ที่ติดไวรัสนี้ได้ถ้าหากในเครื่อ งของเราไม่มีโปรแกรม Notepad.exe ติดตั้งไว้ในไดเรกทอรี C:Windows
W32.Perrun เป็นไวรัสที่สามารถแพร่เชื้อใส่ไฟล์ชนิด .jpg และ .txt ได้โดยการเติม code ของตัวมันต่อท้ายไฟล์ต้นฉบับ อย่างไรก็ดีส่วนที่เป็น code ของไวรัสนี้
ยังไม่สามารถแพร่กระจายเชื้อไวรัสไปยังเครื่องคอมพิ วเตอร์เครื่องอื่นได้เองในขณะนี้ ข้อมูลรูปภาพเดิมในไฟล์ .jpg ต้นฉบับที่ติดไวรัสนี้จะไม่สามารถแสดงขึ้นมาบนจอ
มอนิเตอร์ได้ถ้ าหากในเครื่องของเราไม่มีไฟล์ Shimgvw.dll ติดตั้งไว้ในไดเรกทอรี C:WindowsSystem และข้อความเดิมในไฟล์ .txt ต้นฉบับจะไม่สามารถอ่าน
จากไฟล์ที่ติดไวรัสนี้ได้ถ้าหากในเครื่อ งของเราไม่มีโปรแกรม Notepad.exe ติดตั้งไว้ในไดเรกทอรี C:Windows
เจ้าไวรัส W32.Perrun นี้เป็นไวรัสที่ออกแบบมาเพื่อทดสอบแนวคิดใหม่จึงยังไม่มีการทำล ายล้างที่รุนแรงและยังไม่แพร่ระบาดออกไปในวงกว้างครับ นอกจากไวรัส
Perrun แล้วผู้พัฒนาไวรัสนี้ยังได้ปล่อยไวรัสกลายพันธ์ออกมาอีกตัวด้วย โดยสายพันธ์ b นี้มุ่งโจมตีไฟล์ข้อความที่มีนามสกุลเป็นชนิด .txt วิธีการทำงานของไวรัสสาย
พันธ์ b นี้เหมือนกับการทำงานของไวรัส W32.Perrun ต้นฉบับทุกประการ โดยต่างกันเพียงแค่ชนิดของไฟล์ที่เป็นเป้าหมายในการแพร่เชื้อเท ่านั้น
ลักษณะโดยทั่วไปของไวรัส W32.Perrun
ไวรัสที่แพร่เชื้อเติมท้ายไฟล์นี้เป็นไวรัสตัวแรกที่สามารถแพร ่เชื้อใส่ไฟล์ชนิด JPEG ได้ มันเป็นไวรัสที่ประกอบด้วยส่วนประกอบหลายๆ ส่วนและต้องใช้ส่วนประกอบของ
มันที่เป็นตัวสกัดไฟล์ในการแกะเอา code ของตัวมันที่เป็นโปรแกรมไวรัสออกมาจากไฟล์ชนิด JPEG ที่ติดเชื้อและเรียกให้โปรแกรมไวรัสทำงาน
ถ้าหากเรานำไฟล์ชนิด JPEG หรือชนิด TXT ที่ติดเชื้อไวรัส Perrun แล้วไปเปิดหรือใช้งานบนเครื่องคอมพิวเตอร์เครื่องอื่น เจ้าไวรัส Perrun จะไม่สามารถออกมา
ทำงานบนหน่วยความจำและแพร่เชื้อใส่ไฟล์บนเครื่ องดังกล่าวได้เพราะมันจำเป็นต้องใช้ไฟล์ Extrk.exe หรือ Textrk.exe ในการเรียกใช้งาน (execute) ตัวมัน
และในการเขียน code ของมันแพร่เชื้อต่อท้ายไฟล์อื่นๆ
วิธีการติดตั้งตัวเองของไวรัส W32.Perrun
เจ้าไวรัสจะนี้จะบุกมาถึงเครื่องของเราในรูปแบบของไฟล์ที่ประม วลผลได้ชนิด Portable Executable (PE) ที่มีขนาด 11,780 ไบต์ ซึ่งไฟล์ไวรัสนี้จะถูกตรวจจับ
ว่าเป็นไวรัส W32.Perrun.dr โดยโปรแกรมตรวจสอบไวรัส Norton Antivirus หรือเป็นไวรัส W32/Alcop@MM โดยโปรแกรมตรวจสอบไวรัส McAfee
VirusScan หากเราเผลอเรียกให้ไฟล์ไวรัสนี้ทำงานมันก็จะทำการติดตั้งตัวเอง ลงในเครื่องของเราดังนี้
# มันจะติดตั้งไฟล์ Reg.mp3 ซึ่งเป็นไฟล์ registry ที่เจ้าไวรัส Perrun จะใช้ในการแก้ไข registry ในเครื่องของเรา
# มันจะติดตั้งไฟล์ Extrk.exe หรือ Textrk.exe ซึ่งเป็นไฟล์ที่ประมวลผลได้ที่จะถูกตั้งค่า registry ให้ทำการเรียกใช้ไฟล์นี้เมื่อมีการเปิดไฟล์ชนิด .jpg หรือ .txt
ใดๆ
สำหรับไฟล์ Extrk.exe นี้เป็นส่วนประกอบของไวรัสที่ทำหน้าที่สกัดเอาโปรแกรมของไวรัส Perrun ที่ฝังอยู่ในรูปภาพออกมาทำงาน ขนาดของไฟล์ Extrk.exe คือ
5,636 ไบต์และจะถูกติดตั้งไว้ในไดเรกทอรีที่กำลังใช้งานอยู่ในขณะนั้น ทั้งโปรแกรมของไวรัส Perrun และโปรแกรม Extrk.exe นี้ต่างก็ถูกพัฒนาขึ้นมาด้วยภาษาวิ
ชวลเบสิก 6 และถูกบีบอัดขนาดไฟล์ไว้ด้วยโปรแกรม utility UPX ครับ
หลังจากนั้นเจ้าไวรัส Perrun จะทำการแก้ไขค่า registry ในเครื่องของเราในส่วนที่เกี่ยวข้องกับการเรียกดูไฟล์รูปภาพ JPEG โดยแก้ไขค่า registry
HKEY_LOCAL_MACHINESoftwareClassesjpegfileshellopencommand
ให้เป็น
extrk.exe %1
ซึ่งจะมีผลทำให้เมื่อเราเรียกดูไฟล์ชนิด JPEG ไฟล์ส่วนประกอบสำหรับสกัดโค้ดของไวรัส (โปรแกรม Extrk.exe) จะถูกเรียกให้ขึ้นมาทำงานบนหน่วยความจำ
โปรแกรมสกัดโค้ดนี้จะตรวจสอบรูปภาพที่เราเรียกดูว่ารูปดังกล่าว ติดเชื้อไวรัส Perrun อยู่แล้วหรือไม่ หากติดเชื้ออยู่แล้วมันก็จะสกัดเอาโค้ดของไวรัสที่ฝังอยู่ในรูป
ออกมาและเรียกใช้งานโค้ดของไวรัสให้ทำงาน อย่างไรก็ดีไวรัส Perrun จะแพร่เชื้อใส่ไฟล์รูป JPEG ที่อยู่ในไดเรกทอรีที่กำลังใช้งานอยู่ในขณะนั้นเท่านั้น และจะแพร่
เชื้อใส่รูปเพียงแค่ 1 รูปต่อ 1 รอบของการทำงาน หลังจากนั้นส่วนประกอบที่ทำหน้าที่สกัดโค้ดไวรัสจะพยายามแสดงรู ป JPEG ต้นฉบับโดยใช้ไฟล์ DLL ของระบบ
เพื่อปกปิดไม่ให้ผู้ใช้เครื่องรู้สึกผิดปกติ
สำหรับสายพันธ์ b ของไวรัส Perrun จะใช้ชื่อของไฟล์ส่วนประกอบเป็น Textrk.exe และทำการแพร่เชื้อไวรัสใส่ไฟล์ข้อความ (นามสกุล .txt) แทนไฟล์ชนิด JPEG
ซึ่งเจ้าไวรัส Perrun สายพันธ์ b จะทำการแก้ไขค่า registry key ในเครื่องของเราที่
HKEY_LOCAL_MACHINESoftwareClasses xtfileshellopencommand
ให้เป็น
textrk.exe %1
ซึ่งจะมีผลทำให้ไฟล์ส่วนประกอบสำหรับสกัดโค้ดของไวรัส (โปรแกรม Extrk.exe) จะถูกเรียกให้ขึ้นมาทำงานบนหน่วยความจำเมื่อเราเรียกดูไฟล์ชนิด .txt ครับ
จะรู้ได้อย่างไรว่าติดไวรัส Perrun แล้ว
เราสามารถตรวจสอบว่าเราตกเป็นเหยื่อของไวรัส Perrun แล้วหรือไม่โดยการตรวจสอบได้อย่างง่ายๆ ดังนี้ครับ ให้เราตรวจดูว่ามีการแก้ไข registry ตามที่กล่าวไป
แล้วหรือไม่ หรือหากพบว่าขนาดของไฟล์รูปภาพชนิด JPEG ในเครื่องของเรามีขนาดใหญ่ขึ้น 11,780 ไบต์ หรือหากพบว่าขนาดของไฟล์ข้อความ (ชนิด .txt) มีขนาด
ใหญ่ขึ้น 11,780 ไบต์ครับ
วิธีการกำจัดไวรัส W32.Perrun
ให้ทำการอัพเดตโปรแกรมตรวจสอบไวรัสและไฟล์นิยามข้อมูลแล้วทำกา รตรวจสอบไวรัสในเครื่องของเราและลบไฟล์ทั้งหมดที่ตรวจพบว่าติดไ วรัส Perrun ทิ้งไป ที่
สำคัญอย่าลืมตั้งค่าการทำงานของโปรแกรมตรวจสอบไวรัสให้มีการ ตรวจไวรัสในไฟล์ทุกประเภท เพราะเจ้า Perrun แพร่เชื้อใส่ไฟล์รูปภาพและไฟล์ข้อความไม่ได้แพร่
เชื้อใส่ไฟล์ .exe ไม่อย่างนั้นจะตรวจหามันไม่พบครับ การตั้งค่าให้มีการตรวจไวรัสในไฟล์ทุกประเภทอาจทำให้เสียเวลารอ นานขึ้น แต่ก็ปลอดภัยกว่ามากครับเพราะ
ไวรัสในปัจจุบันอาจแฝงมาในรูปของไ ฟล์ชนิดแปลกๆ ไม่ได้ใช้แค่ไฟล์ชนิดที่ประมวลผลได้เหมือนก่อนครับ
ขั้นตอนต่อไปเป็นการแก้ไข registry ที่เจ้าไวรัส Perrun สร้างเอาไว้โดยมีขั้นตอนดังต่อไปนี้
# กด Start -
# พิมพ์ REGEDIT และกด Enter โปรแกรม Registry Editor จะทำงานขึ้นมา
# ในด้านซ้ายมือของจอให้กดเลือกหา registry key ต่อไปนี้
สำหรับสายพันธ์หลัก
HKEY_LOCAL_MACHINESoftwareClassesjpegfileshellopencommand
สำหรับสายพันธ์ b
HKEY_LOCAL_MACHINESoftwareClasses xtfileshellopencommand
# ในด้านขวามือของจอให้กดดับเบิลคลิ้กที่ค่า
(Default)
กรอบข้อความ Edit String สำหรับแก้ไขค่า key จะปรากฏขึ้นมา
# ลบสิ่งที่ระบุในกรอบ Value data ทั้งหมดและพิมพ์ข้อความเหล่านี้เข้าไปแทน
สำหรับค่า key:
jpegfileshellopencommand
ให้พิมพ์
"C:PROGRA~1INTERN~1iexplore.exe" -nohome
ซึ่งเป็นการตั้งให้เรียกใช้โปรแกรม Internet Explorer ในการดูภาพชนิด JPEG หากต้องการใช้โปรแกรมอื่นให้แก้ไขชื่อโปรแกรมตามต้องการครับ
สำหรับค่า key:
txtfileshellopencommand
เนื่องจากโปรแกรมที่ใช้ (และค่า key ที่จะพิมพ์) จะต่างกันไปขึ้นกับระบบปฏิบัติการในเครื่องของเรา ดังนั้นให้ลองดูค่าจากเครื่องอื่นที่ใช้ระบบปฏิบัติการรุ่นเดีย วกัน
ครับ สำหรับค่าที่พบโดยทั่วไปคือ
+ ระบบปฏิบัติการวินโดวส์ 98 ให้พิมพ์
C:WindowsNotepad.exe %
+ ระบบปฏิบัติการวินโดวส์ 2000 ให้พิมพ์
%SystemRoot%system32NOTEPAD.EXE %1
# ปิดโปรแกรม registry editor
ควรจับตาเพราะเป็นไวรัสไฟล์ข้อมูล
แม้ว่าในขณะนี้เจ้าไวรัส Perrun จะยังไม่สามารถแพร่เชื้อข้ามเครื่องคอมพิวเตอร์ได้ด้วยตัวเองแต ่มันก็สร้างความกังวลใจให้กับเหล่าผู้เชี่ยวชาญด้านไวรัสเพราะม ันเป็น
ไวรัสตัวแรกที่สามารถแพร่เชื้อใส่ไฟล์ข้อมูลได้ ในขณะที่ไวรัสทั้งหลายในช่วงที่ผ่านมาสามารถแพร่เชื้อใส่ไฟล์ปร ะเภทโปรแกรมได้เท่านั้นทำให้ผู้ใช้เชื่อว่าไฟล์ประเภท
ข้อมูลเป็ นไฟล์ที่ปลอดภัยในการเรียกดูหรือเรียกใช้งานมาโดยตลอด
นาย Vincent Gullotto หัวหน้านักวิจัยไวรัสจาก McAfee Security กล่าวว่า "สิ่งที่เราห่วงมากกว่าคือไวรัสที่จะพัฒนาตามหลังเจ้า Perrun ออกมา ซึ่งจะส่งผล
ให้ไม่มีไฟล์ชนิดไหนถือได้ว่าเป็นไฟล์ที่ปลอดภัยอีก ต่อไปแล้ว"
จากอดีตจนถึงปัจจุบันไวรัสสามารถแพร่เชื้อใส่ไฟล์ประเภทโปรแกรม (คือไฟล์ประเภทที่สามารถทำงานหรือประมวลผลได้ด้วยตัวเอง) ได้เท่านั้น ส่วนไฟล์ประเภทข้อมูล
อย่างเช่นไฟล์ภาพยนตร์, เพลง, ไฟล์ข้อความ และไฟล์รูปภาพยังคงปลอดภัยจากการติดเชื้อไวรัสมาโดยตลอด พวกไวรัสสามารถทำได้แค่ลบไฟล์หรือทำการแก้ไขข้อมูล
ในไฟล์ประเภท ข้อมูลเท่านั้น Perrun จึงถือได้ว่าเป็นไวรัสตัวแรกที่แพร่เชื้อใส่ไฟล์ประเภทข้อมูลได ้สำเร็จ
ยังต้องได้รับการพัฒนาต่อไปอีก
อย่างไรก็ตามไวรัส Perrun ยังคงต้องได้รับการปรับแต่งอีกพอสมควรถึงจะถือว่าเป็นไวรัสอันต ราย เจ้าหนอนจะบุกมาถึงตัวเราทางจดหมายอิเล็กทรอนิกส์หรือมาทาง
แผ่น ฟลอปปี้ดิสก์ในรูปของไฟล์ชนิดที่ประมวลผลได้ ที่ผ่านมาผู้เชี่ยวชาญด้านความปลอดภัยมักจะเตือนผู้ใช้ไม่ให้เร ียกใช้งานโปรแกรมที่ส่งมาในรูปของไฟล์แนบท้าย
จดหมายอิเล็กทรอนิ กส์โดยไม่ตรวจสอบเสียก่อน ซึ่งหากเราปฏิบัติตามกฏการรักษาความปลอดภัยอย่างเคร่งครัดเราก็ จะไม่ตกเป็นเหยื่อของเจ้า Perrun ครับ
เมื่อเราเรียกใช้ไฟล์ของโปรแกรมไวรัส Perrun มันจะแอบติดตั้งส่วนประกอบที่ทำหน้าที่สกัดไฟล์ไวรัสออกจากรูปล งบนฮาร์ดดิสก์ของเหยื่อ เมื่อผู้ใช้เรียกดูรูปภาพชนิด
.JPG (ซึ่งในปัจจุบันเป็นรูปภาพชนิดที่พบได้ทั่วไปในอินเทอร์เน็ต) มันจะแพร่เชื้อใส่รูปภาพนั้นก่อนที่จะแสดงรูปภาพดังกล่าวขึ้นมา บนจอ เนื่องจากภาพยังคงแสดงขึ้น
มาบนจอตามปกติผู้ใช้ จึงไม่มีทางรู้ได้เลยว่ามีไวรัสทำงานอยู่บนเครื่องของเขา
แม่แบบของไวรัสติดไฟล์ข้อมูล
รูปแบบการทำงานของเจ้า Perrun ในปัจจุบันจะทำให้ภาพ JPG ที่ติดเชื้อที่ส่งไปให้เพื่อนหรือเผยแพร่อยู่บนเว็บไซต์ยังคงไม ่อาจสร้างอันตรายใดๆ ได้หากเครื่องที่
รับรูปไปไม่มีโปรแกรมส่วนประกอบเพื่อสกัดไฟล์ท ำงานอยู่ แต่นาย Gullotto กล่าวว่าไม่มีเหตุผลใดที่จะห้ามไม่ให้ผู้พัฒนาไวรัสนี้รวมเอา code ทั้งหมดของไวรัส
เข้าไปในภาพ JPG ซึ่งเมื่อรวมเข้าไปแล้วจะทำให้ไฟล์รูปภาพเป็นไวรัสที่สมบูรณ์ใน ตัวเองไม่ต้องอาศัยส่วนประกอบเพื่อสกัดไฟล์อีก
เขากล่าวเสริมอีกว่าการพัฒนาขั้นถัดไปนี้จะทำให้ผู้ใช้ต้องไตร่ ตรองให้ดีก่อนที่จะรับส่งรูปภาพหรือไฟล์ข้อมูลชนิดอื่นผ่านทางอ ินเทอร์เน็ต "ผมเชื่อว่ามีความเป็นไปได้ที่
จะเกิดรูปแบบใหม่ๆ ของไวรัส และเมื่อพัฒนาไปจนถึงขั้นนั้นแล้วจะทำให้เราต้องใคร่ครวญการเผย แพร่รูป JPG ให้ดี"
นักวิจัยไวรัสของ McAfee ได้รับไวรัส Perrun จากผู้สร้างมันขึ้นมา อย่างไรก็ดีนาย Gullotto ปฏิเสธที่จะให้ข้อมูลเกี่ยวกับผู้พัฒนาไวรัสรายนี้ แม้ว่าเจ้า Perrun จะ
เป็นเพียงแค่ไวรัสทดสอบแนวคิดใหม่และไม่ได้สร้างความเสียหายใ ดๆ แต่นาย Gullotto ก็กลัวว่าพวกนักพัฒนาไวรัสอาจใช้มันเป็นแม่แบบในการสร้างไวรัสต ิดไฟล์
ข้อมูลที่มีการทำลายล้างรุนแรงขึ้นมา
cradit : shwenting
ยังไม่สามารถแพร่กระจายเชื้อไวรัสไปยังเครื่องคอมพิ วเตอร์เครื่องอื่นได้เองในขณะนี้ ข้อมูลรูปภาพเดิมในไฟล์ .jpg ต้นฉบับที่ติดไวรัสนี้จะไม่สามารถแสดงขึ้นมาบนจอ
มอนิเตอร์ได้ถ้ าหากในเครื่องของเราไม่มีไฟล์ Shimgvw.dll ติดตั้งไว้ในไดเรกทอรี C:WindowsSystem และข้อความเดิมในไฟล์ .txt ต้นฉบับจะไม่สามารถอ่าน
จากไฟล์ที่ติดไวรัสนี้ได้ถ้าหากในเครื่อ งของเราไม่มีโปรแกรม Notepad.exe ติดตั้งไว้ในไดเรกทอรี C:Windows
W32.Perrun เป็นไวรัสที่สามารถแพร่เชื้อใส่ไฟล์ชนิด .jpg และ .txt ได้โดยการเติม code ของตัวมันต่อท้ายไฟล์ต้นฉบับ อย่างไรก็ดีส่วนที่เป็น code ของไวรัสนี้
ยังไม่สามารถแพร่กระจายเชื้อไวรัสไปยังเครื่องคอมพิ วเตอร์เครื่องอื่นได้เองในขณะนี้ ข้อมูลรูปภาพเดิมในไฟล์ .jpg ต้นฉบับที่ติดไวรัสนี้จะไม่สามารถแสดงขึ้นมาบนจอ
มอนิเตอร์ได้ถ้ าหากในเครื่องของเราไม่มีไฟล์ Shimgvw.dll ติดตั้งไว้ในไดเรกทอรี C:WindowsSystem และข้อความเดิมในไฟล์ .txt ต้นฉบับจะไม่สามารถอ่าน
จากไฟล์ที่ติดไวรัสนี้ได้ถ้าหากในเครื่อ งของเราไม่มีโปรแกรม Notepad.exe ติดตั้งไว้ในไดเรกทอรี C:Windows
เจ้าไวรัส W32.Perrun นี้เป็นไวรัสที่ออกแบบมาเพื่อทดสอบแนวคิดใหม่จึงยังไม่มีการทำล ายล้างที่รุนแรงและยังไม่แพร่ระบาดออกไปในวงกว้างครับ นอกจากไวรัส
Perrun แล้วผู้พัฒนาไวรัสนี้ยังได้ปล่อยไวรัสกลายพันธ์ออกมาอีกตัวด้วย โดยสายพันธ์ b นี้มุ่งโจมตีไฟล์ข้อความที่มีนามสกุลเป็นชนิด .txt วิธีการทำงานของไวรัสสาย
พันธ์ b นี้เหมือนกับการทำงานของไวรัส W32.Perrun ต้นฉบับทุกประการ โดยต่างกันเพียงแค่ชนิดของไฟล์ที่เป็นเป้าหมายในการแพร่เชื้อเท ่านั้น
ลักษณะโดยทั่วไปของไวรัส W32.Perrun
ไวรัสที่แพร่เชื้อเติมท้ายไฟล์นี้เป็นไวรัสตัวแรกที่สามารถแพร ่เชื้อใส่ไฟล์ชนิด JPEG ได้ มันเป็นไวรัสที่ประกอบด้วยส่วนประกอบหลายๆ ส่วนและต้องใช้ส่วนประกอบของ
มันที่เป็นตัวสกัดไฟล์ในการแกะเอา code ของตัวมันที่เป็นโปรแกรมไวรัสออกมาจากไฟล์ชนิด JPEG ที่ติดเชื้อและเรียกให้โปรแกรมไวรัสทำงาน
ถ้าหากเรานำไฟล์ชนิด JPEG หรือชนิด TXT ที่ติดเชื้อไวรัส Perrun แล้วไปเปิดหรือใช้งานบนเครื่องคอมพิวเตอร์เครื่องอื่น เจ้าไวรัส Perrun จะไม่สามารถออกมา
ทำงานบนหน่วยความจำและแพร่เชื้อใส่ไฟล์บนเครื่ องดังกล่าวได้เพราะมันจำเป็นต้องใช้ไฟล์ Extrk.exe หรือ Textrk.exe ในการเรียกใช้งาน (execute) ตัวมัน
และในการเขียน code ของมันแพร่เชื้อต่อท้ายไฟล์อื่นๆ
วิธีการติดตั้งตัวเองของไวรัส W32.Perrun
เจ้าไวรัสจะนี้จะบุกมาถึงเครื่องของเราในรูปแบบของไฟล์ที่ประม วลผลได้ชนิด Portable Executable (PE) ที่มีขนาด 11,780 ไบต์ ซึ่งไฟล์ไวรัสนี้จะถูกตรวจจับ
ว่าเป็นไวรัส W32.Perrun.dr โดยโปรแกรมตรวจสอบไวรัส Norton Antivirus หรือเป็นไวรัส W32/Alcop@MM โดยโปรแกรมตรวจสอบไวรัส McAfee
VirusScan หากเราเผลอเรียกให้ไฟล์ไวรัสนี้ทำงานมันก็จะทำการติดตั้งตัวเอง ลงในเครื่องของเราดังนี้
# มันจะติดตั้งไฟล์ Reg.mp3 ซึ่งเป็นไฟล์ registry ที่เจ้าไวรัส Perrun จะใช้ในการแก้ไข registry ในเครื่องของเรา
# มันจะติดตั้งไฟล์ Extrk.exe หรือ Textrk.exe ซึ่งเป็นไฟล์ที่ประมวลผลได้ที่จะถูกตั้งค่า registry ให้ทำการเรียกใช้ไฟล์นี้เมื่อมีการเปิดไฟล์ชนิด .jpg หรือ .txt
ใดๆ
สำหรับไฟล์ Extrk.exe นี้เป็นส่วนประกอบของไวรัสที่ทำหน้าที่สกัดเอาโปรแกรมของไวรัส Perrun ที่ฝังอยู่ในรูปภาพออกมาทำงาน ขนาดของไฟล์ Extrk.exe คือ
5,636 ไบต์และจะถูกติดตั้งไว้ในไดเรกทอรีที่กำลังใช้งานอยู่ในขณะนั้น ทั้งโปรแกรมของไวรัส Perrun และโปรแกรม Extrk.exe นี้ต่างก็ถูกพัฒนาขึ้นมาด้วยภาษาวิ
ชวลเบสิก 6 และถูกบีบอัดขนาดไฟล์ไว้ด้วยโปรแกรม utility UPX ครับ
หลังจากนั้นเจ้าไวรัส Perrun จะทำการแก้ไขค่า registry ในเครื่องของเราในส่วนที่เกี่ยวข้องกับการเรียกดูไฟล์รูปภาพ JPEG โดยแก้ไขค่า registry
HKEY_LOCAL_MACHINESoftwareClassesjpegfileshellopencommand
ให้เป็น
extrk.exe %1
ซึ่งจะมีผลทำให้เมื่อเราเรียกดูไฟล์ชนิด JPEG ไฟล์ส่วนประกอบสำหรับสกัดโค้ดของไวรัส (โปรแกรม Extrk.exe) จะถูกเรียกให้ขึ้นมาทำงานบนหน่วยความจำ
โปรแกรมสกัดโค้ดนี้จะตรวจสอบรูปภาพที่เราเรียกดูว่ารูปดังกล่าว ติดเชื้อไวรัส Perrun อยู่แล้วหรือไม่ หากติดเชื้ออยู่แล้วมันก็จะสกัดเอาโค้ดของไวรัสที่ฝังอยู่ในรูป
ออกมาและเรียกใช้งานโค้ดของไวรัสให้ทำงาน อย่างไรก็ดีไวรัส Perrun จะแพร่เชื้อใส่ไฟล์รูป JPEG ที่อยู่ในไดเรกทอรีที่กำลังใช้งานอยู่ในขณะนั้นเท่านั้น และจะแพร่
เชื้อใส่รูปเพียงแค่ 1 รูปต่อ 1 รอบของการทำงาน หลังจากนั้นส่วนประกอบที่ทำหน้าที่สกัดโค้ดไวรัสจะพยายามแสดงรู ป JPEG ต้นฉบับโดยใช้ไฟล์ DLL ของระบบ
เพื่อปกปิดไม่ให้ผู้ใช้เครื่องรู้สึกผิดปกติ
สำหรับสายพันธ์ b ของไวรัส Perrun จะใช้ชื่อของไฟล์ส่วนประกอบเป็น Textrk.exe และทำการแพร่เชื้อไวรัสใส่ไฟล์ข้อความ (นามสกุล .txt) แทนไฟล์ชนิด JPEG
ซึ่งเจ้าไวรัส Perrun สายพันธ์ b จะทำการแก้ไขค่า registry key ในเครื่องของเราที่
HKEY_LOCAL_MACHINESoftwareClasses xtfileshellopencommand
ให้เป็น
textrk.exe %1
ซึ่งจะมีผลทำให้ไฟล์ส่วนประกอบสำหรับสกัดโค้ดของไวรัส (โปรแกรม Extrk.exe) จะถูกเรียกให้ขึ้นมาทำงานบนหน่วยความจำเมื่อเราเรียกดูไฟล์ชนิด .txt ครับ
จะรู้ได้อย่างไรว่าติดไวรัส Perrun แล้ว
เราสามารถตรวจสอบว่าเราตกเป็นเหยื่อของไวรัส Perrun แล้วหรือไม่โดยการตรวจสอบได้อย่างง่ายๆ ดังนี้ครับ ให้เราตรวจดูว่ามีการแก้ไข registry ตามที่กล่าวไป
แล้วหรือไม่ หรือหากพบว่าขนาดของไฟล์รูปภาพชนิด JPEG ในเครื่องของเรามีขนาดใหญ่ขึ้น 11,780 ไบต์ หรือหากพบว่าขนาดของไฟล์ข้อความ (ชนิด .txt) มีขนาด
ใหญ่ขึ้น 11,780 ไบต์ครับ
วิธีการกำจัดไวรัส W32.Perrun
ให้ทำการอัพเดตโปรแกรมตรวจสอบไวรัสและไฟล์นิยามข้อมูลแล้วทำกา รตรวจสอบไวรัสในเครื่องของเราและลบไฟล์ทั้งหมดที่ตรวจพบว่าติดไ วรัส Perrun ทิ้งไป ที่
สำคัญอย่าลืมตั้งค่าการทำงานของโปรแกรมตรวจสอบไวรัสให้มีการ ตรวจไวรัสในไฟล์ทุกประเภท เพราะเจ้า Perrun แพร่เชื้อใส่ไฟล์รูปภาพและไฟล์ข้อความไม่ได้แพร่
เชื้อใส่ไฟล์ .exe ไม่อย่างนั้นจะตรวจหามันไม่พบครับ การตั้งค่าให้มีการตรวจไวรัสในไฟล์ทุกประเภทอาจทำให้เสียเวลารอ นานขึ้น แต่ก็ปลอดภัยกว่ามากครับเพราะ
ไวรัสในปัจจุบันอาจแฝงมาในรูปของไ ฟล์ชนิดแปลกๆ ไม่ได้ใช้แค่ไฟล์ชนิดที่ประมวลผลได้เหมือนก่อนครับ
ขั้นตอนต่อไปเป็นการแก้ไข registry ที่เจ้าไวรัส Perrun สร้างเอาไว้โดยมีขั้นตอนดังต่อไปนี้
# กด Start -
# พิมพ์ REGEDIT และกด Enter โปรแกรม Registry Editor จะทำงานขึ้นมา
# ในด้านซ้ายมือของจอให้กดเลือกหา registry key ต่อไปนี้
สำหรับสายพันธ์หลัก
HKEY_LOCAL_MACHINESoftwareClassesjpegfileshellopencommand
สำหรับสายพันธ์ b
HKEY_LOCAL_MACHINESoftwareClasses xtfileshellopencommand
# ในด้านขวามือของจอให้กดดับเบิลคลิ้กที่ค่า
(Default)
กรอบข้อความ Edit String สำหรับแก้ไขค่า key จะปรากฏขึ้นมา
# ลบสิ่งที่ระบุในกรอบ Value data ทั้งหมดและพิมพ์ข้อความเหล่านี้เข้าไปแทน
สำหรับค่า key:
jpegfileshellopencommand
ให้พิมพ์
"C:PROGRA~1INTERN~1iexplore.exe" -nohome
ซึ่งเป็นการตั้งให้เรียกใช้โปรแกรม Internet Explorer ในการดูภาพชนิด JPEG หากต้องการใช้โปรแกรมอื่นให้แก้ไขชื่อโปรแกรมตามต้องการครับ
สำหรับค่า key:
txtfileshellopencommand
เนื่องจากโปรแกรมที่ใช้ (และค่า key ที่จะพิมพ์) จะต่างกันไปขึ้นกับระบบปฏิบัติการในเครื่องของเรา ดังนั้นให้ลองดูค่าจากเครื่องอื่นที่ใช้ระบบปฏิบัติการรุ่นเดีย วกัน
ครับ สำหรับค่าที่พบโดยทั่วไปคือ
+ ระบบปฏิบัติการวินโดวส์ 98 ให้พิมพ์
C:WindowsNotepad.exe %
+ ระบบปฏิบัติการวินโดวส์ 2000 ให้พิมพ์
%SystemRoot%system32NOTEPAD.EXE %1
# ปิดโปรแกรม registry editor
ควรจับตาเพราะเป็นไวรัสไฟล์ข้อมูล
แม้ว่าในขณะนี้เจ้าไวรัส Perrun จะยังไม่สามารถแพร่เชื้อข้ามเครื่องคอมพิวเตอร์ได้ด้วยตัวเองแต ่มันก็สร้างความกังวลใจให้กับเหล่าผู้เชี่ยวชาญด้านไวรัสเพราะม ันเป็น
ไวรัสตัวแรกที่สามารถแพร่เชื้อใส่ไฟล์ข้อมูลได้ ในขณะที่ไวรัสทั้งหลายในช่วงที่ผ่านมาสามารถแพร่เชื้อใส่ไฟล์ปร ะเภทโปรแกรมได้เท่านั้นทำให้ผู้ใช้เชื่อว่าไฟล์ประเภท
ข้อมูลเป็ นไฟล์ที่ปลอดภัยในการเรียกดูหรือเรียกใช้งานมาโดยตลอด
นาย Vincent Gullotto หัวหน้านักวิจัยไวรัสจาก McAfee Security กล่าวว่า "สิ่งที่เราห่วงมากกว่าคือไวรัสที่จะพัฒนาตามหลังเจ้า Perrun ออกมา ซึ่งจะส่งผล
ให้ไม่มีไฟล์ชนิดไหนถือได้ว่าเป็นไฟล์ที่ปลอดภัยอีก ต่อไปแล้ว"
จากอดีตจนถึงปัจจุบันไวรัสสามารถแพร่เชื้อใส่ไฟล์ประเภทโปรแกรม (คือไฟล์ประเภทที่สามารถทำงานหรือประมวลผลได้ด้วยตัวเอง) ได้เท่านั้น ส่วนไฟล์ประเภทข้อมูล
อย่างเช่นไฟล์ภาพยนตร์, เพลง, ไฟล์ข้อความ และไฟล์รูปภาพยังคงปลอดภัยจากการติดเชื้อไวรัสมาโดยตลอด พวกไวรัสสามารถทำได้แค่ลบไฟล์หรือทำการแก้ไขข้อมูล
ในไฟล์ประเภท ข้อมูลเท่านั้น Perrun จึงถือได้ว่าเป็นไวรัสตัวแรกที่แพร่เชื้อใส่ไฟล์ประเภทข้อมูลได ้สำเร็จ
ยังต้องได้รับการพัฒนาต่อไปอีก
อย่างไรก็ตามไวรัส Perrun ยังคงต้องได้รับการปรับแต่งอีกพอสมควรถึงจะถือว่าเป็นไวรัสอันต ราย เจ้าหนอนจะบุกมาถึงตัวเราทางจดหมายอิเล็กทรอนิกส์หรือมาทาง
แผ่น ฟลอปปี้ดิสก์ในรูปของไฟล์ชนิดที่ประมวลผลได้ ที่ผ่านมาผู้เชี่ยวชาญด้านความปลอดภัยมักจะเตือนผู้ใช้ไม่ให้เร ียกใช้งานโปรแกรมที่ส่งมาในรูปของไฟล์แนบท้าย
จดหมายอิเล็กทรอนิ กส์โดยไม่ตรวจสอบเสียก่อน ซึ่งหากเราปฏิบัติตามกฏการรักษาความปลอดภัยอย่างเคร่งครัดเราก็ จะไม่ตกเป็นเหยื่อของเจ้า Perrun ครับ
เมื่อเราเรียกใช้ไฟล์ของโปรแกรมไวรัส Perrun มันจะแอบติดตั้งส่วนประกอบที่ทำหน้าที่สกัดไฟล์ไวรัสออกจากรูปล งบนฮาร์ดดิสก์ของเหยื่อ เมื่อผู้ใช้เรียกดูรูปภาพชนิด
.JPG (ซึ่งในปัจจุบันเป็นรูปภาพชนิดที่พบได้ทั่วไปในอินเทอร์เน็ต) มันจะแพร่เชื้อใส่รูปภาพนั้นก่อนที่จะแสดงรูปภาพดังกล่าวขึ้นมา บนจอ เนื่องจากภาพยังคงแสดงขึ้น
มาบนจอตามปกติผู้ใช้ จึงไม่มีทางรู้ได้เลยว่ามีไวรัสทำงานอยู่บนเครื่องของเขา
แม่แบบของไวรัสติดไฟล์ข้อมูล
รูปแบบการทำงานของเจ้า Perrun ในปัจจุบันจะทำให้ภาพ JPG ที่ติดเชื้อที่ส่งไปให้เพื่อนหรือเผยแพร่อยู่บนเว็บไซต์ยังคงไม ่อาจสร้างอันตรายใดๆ ได้หากเครื่องที่
รับรูปไปไม่มีโปรแกรมส่วนประกอบเพื่อสกัดไฟล์ท ำงานอยู่ แต่นาย Gullotto กล่าวว่าไม่มีเหตุผลใดที่จะห้ามไม่ให้ผู้พัฒนาไวรัสนี้รวมเอา code ทั้งหมดของไวรัส
เข้าไปในภาพ JPG ซึ่งเมื่อรวมเข้าไปแล้วจะทำให้ไฟล์รูปภาพเป็นไวรัสที่สมบูรณ์ใน ตัวเองไม่ต้องอาศัยส่วนประกอบเพื่อสกัดไฟล์อีก
เขากล่าวเสริมอีกว่าการพัฒนาขั้นถัดไปนี้จะทำให้ผู้ใช้ต้องไตร่ ตรองให้ดีก่อนที่จะรับส่งรูปภาพหรือไฟล์ข้อมูลชนิดอื่นผ่านทางอ ินเทอร์เน็ต "ผมเชื่อว่ามีความเป็นไปได้ที่
จะเกิดรูปแบบใหม่ๆ ของไวรัส และเมื่อพัฒนาไปจนถึงขั้นนั้นแล้วจะทำให้เราต้องใคร่ครวญการเผย แพร่รูป JPG ให้ดี"
นักวิจัยไวรัสของ McAfee ได้รับไวรัส Perrun จากผู้สร้างมันขึ้นมา อย่างไรก็ดีนาย Gullotto ปฏิเสธที่จะให้ข้อมูลเกี่ยวกับผู้พัฒนาไวรัสรายนี้ แม้ว่าเจ้า Perrun จะ
เป็นเพียงแค่ไวรัสทดสอบแนวคิดใหม่และไม่ได้สร้างความเสียหายใ ดๆ แต่นาย Gullotto ก็กลัวว่าพวกนักพัฒนาไวรัสอาจใช้มันเป็นแม่แบบในการสร้างไวรัสต ิดไฟล์
ข้อมูลที่มีการทำลายล้างรุนแรงขึ้นมา
cradit : shwenting
ความคิดเห็น