เป็นธรรมดาของโปรแกรมกำจัดไวรัสทุกตัวที่จะต้องมีจุดอ่อน มีช่องโหว่ ตรวจจับและจัดการไวรัสบางตัวไม่ได้ (บางทียังไปกล่าวหาไฟล์ปกติของเราเองว่าเป็นไวรัสอีก 55+) ถึงแม้ผู้พัฒนาโปรแกรมจะพยายามกำจัดจุดอ่อนที่มีอยู่อย่างไร แต่ก็คงไม่มีวันหมด ยังคงต้องพัฒนาต่อไปเรื่อยๆ เพื่อให้ทันต่อไวรัสสายพันธุ์ใหม่ๆที่เกิดขึ้นทุกวัน ดังนั้นผู้ใช้คอมพิวเตอร์ก็ต้องระมัดระวังตัวเองด้วย ลดพฤติกรรมเสี่ยงที่จะทำให้ติดไวรัสคอมพิวเตอร์ได้ง่าย ถ้าติดตั้งโปรแกรมกำจัดไวรัสไว้แล้ว ก็ควรหมั่นอัพเดตฐานข้อมูลไวรัสอยู่เสมอๆ ไม่ใช่ปล่อยทิ้งไว้ตามยถากรรม แล้วมาโทษมันทีหลังว่าไม่ช่วยกันเลย ทั้งๆที่ต้นเหตุสำคัญน่าจะมาจากตัวผู้ใช้มากกว่า
อย่างที่เคยเขียนถึงโปรแกรม Clamwin Antivirus มาแล้วว่ามันมีจุดอ่อนอยู่เหมือนกัน อย่างหนึ่งที่เห็นชัดคือมันไม่ได้ทำงานแบบ real time คือไม่ได้ตรวจจับไวรัสให้อัตโนมัติ เราต้องสั่งสแกนไวรัสเอง (เป็นความไม่สะดวกสบายของผู้ใช้อย่างผมเองน่ะ 55+ รวมทั้งเป็นการแก้ที่ปลายเหตุ ติดไวรัสไปแล้วถึงค่อยมาจัดการทีหลัง ไม่ได้ป้องกันไว้เลย ดังนั้นผมว่าแคลมวินคงมีบทบาทเป็นเพียงพระรอง เป็นตัวช่วยเสริม และมีไว้ใช้ใน USB แฟลชไดร์ฟ กรณีที่ต้องไปทำงานกับคอมพิวเตอร์แปลกหน้าที่ไม่ค่อยน่าไว้วางใจ) แต่นั่นไม่ใช่ประเด็นสำคัญที่ผมจะพูดถึงวันนี้ จากที่ผมลองใช้เจ้า Clamwin antivirus นี้ดู ก็ค่อนข้างพอใจกับมันที่สามารถกำจัดไวรัสใน USB flash drive ได้ดี โดยเฉพาะ Brontok A ที่แพร่ระบาดมากผ่านทาง USB แฟลชไดร์ฟ ซึ่งผมโดนบ่อย พึงระลึกไว้ว่า แต่ละที่ แต่ละคน มีโอกาสเจอไวรัสได้ไม่เหมือนกัน ดังนั้น Clamwin อาจจะใช้ได้ผลในที่หนึ่ง แต่ในอีกที่อาจได้ผลไม่ดีก็เป็นได้ ถ้าดันไปเจอไวรัสตัวที่มันกำจัดไม่ได้ ซึ่งในที่สุด Clamwin ของผมก็ได้เจอกับคู่ปรับตัวฉกาจ ที่ Clamwin ไม่สามารถทำอะไรได้เลย ตรวจหาไวรัสก็ไม่เจอ หนำซ้ำ Clamwin ยังโดนมันโจมตีเองเสียอีก (ยังกะเชื้อ HIV โจมตีระบบภูมิคุ้มกันคน)
ผมมาทราบทีหลังว่าไวรัสที่เจอนี้มีชื่อว่า Sality (เป็นไวรัสที่แพร่กระจายทางแฟลชไดรฟได้) โดยวิธีการง่ายๆถ้าอยากรู้ว่าไฟล์ต้องสงสัยนั้นติดไวรัสอะไร หรือเป็นไวรัสอะไร ทำได้โดยเข้าเว็บไซต์นี้ครับ http://www.virustotal.com/ และทำการส่งไฟล์ต้องสงสัยนั้นเข้าไป เว็บไซต์นี้จะใช้โปรแกรม Antivirus ทุกชนิดเท่าที่จะหาได้มาตรวจไฟล์นี้ให้ครับ (แต่ไม่ได้ช่วยกำจัดไวรัสให้) และจะแสดงผลให้ดูว่ามีโปรแกรมไหนบ้างที่บอกว่าไฟล์นี้เป็นไวรัสอะไร และบางโปรแกรมก็อาจจะบอกว่าไฟล์นั้นไม่ใช่ไวรัส เราก็จะดูผลโดยรวม ประเมินว่ามันน่าจะเป็นไวรัสรึเปล่า น่าจะเป็นซักกี่เปอร์เซ็นต์ ซึ่งข้อดีอีกอย่างคือเราจะได้รู้ว่ามีโปรแกรมไหนบ้างที่สามารถจัดการเจ้าไวรัสที่เราเจออยู่ได้ ซึ่งแน่นอนว่าจากการทดสอบของผม โปรแกรม Clam AV (ซึ่งมีฐานข้อมูลไวรัสเหมือนกับ Clamwin) ตรวจไม่เจอไวรัส Sality
สำหรับอาการของแฟลชไดร์ฟหลังจากที่ติดไวรัส Sality นั้น ผมเจอไฟล์ชื่อแปลกๆหลายไฟล์ (อ่านชื่อไม่ออกด้วย) เมื่อลบมันทิ้ง ก็มีไฟล์ใหม่เกิดขึ้นมา แล้วชื่อมันเปลี่ยนไปด้วยอ่ะ และก็มีไฟล์ชื่อ Autorun.inf ประมาณว่ามันจะเป็นตัวสร้างไฟล์ชื่อแปลกๆพวกนั้นโดยการสุ่มตัวอักษรมาตั้งเป็นชื่อไฟล์มั้ง ซึ่งโดยปกติแล้วในแฟลชไดร์ฟผมจะมีโปรแกรม CPE17 Autorun killer ใช้กำจัดพวกไวรัส Autorun (ที่โปรแกรมป้องกันไวรัสส่วนใหญ่มักมองข้าม จัดการไม่ได้) แต่ก่อนก็ใช้ได้ผลอยู่นะ กำจัดไวรัสที่ตั้งไฟล์ชื่อ Autorun.inf ได้ดี แต่มาคราวนี้มันกลับใช้ไม่ได้ผล แล้วเวลาสั่งมันสแกนเพื่อกำจัดไวรัส autorun โปรแกรมยังค้างอีก เหอๆ นอกจากนี้ยังเปิดโปรแกรม Clamwin ขึ้นมาไม่ได้ด้วย ดูเหมือนว่ามันจะมีผลต่อไฟล์นามสกุล .exe (โปรแกรมทั้งหลายรวมทั้งโปรแกรมกำจัดไวรัสด้วย) โดยไวรัสจะไปฝังตัวอยู่ที่ไฟล์ .exe เหล่านี้ ซึ่งผมสังเกตเห็นว่าไฟล์ .exe ที่ใช้เปิดโปรแกรม Clamwin มีขนาดใหญ่กว่าเดิม (จาก 114 kb เป็น 188 kb) นี่ตอนที่ผมไปดับเบิ้ลคลิกมันก็อาจจะทำให้ไวรัสมันทำงานต่อก็เป็นได้
นั่นคือประสบการณ์ที่ผมเจอมากับเจ้าไวรัส sality ครับ ร้ายกาจจริงๆ ถ้าลองค้นหาด้วยกูเกิ้ลก็จะมีคนบอกเล่าเรื่องราวการเจอเจ้าไวรัสตัวนี้มากมาย รวมทั้งวิธีการกำจัดมันด้วย ผมก็เจอข้อมูลไวรัสตัวนี้ ซึ่งคนเขียน เขียนไว้อย่างน่าสนใจทีเดียว อ่านเพิ่มเติมกันดูนะครับ
ที่นี่ http://www.webphand.com/sality/
วิธีการกำจัดไวรัส Sality
- ลองอัพเดตโปรแกรมป้องกันไวรัสในคอมพิวเตอร์ของคุณดูก่อน (ถ้าไม่ได้อัพเดตมานาน) และเท่าที่ผมทราบโปรแกรมป้องกันไวรัสที่สามารถจัดการไวรัส Sality ได้ ได้แก่ Kaspersky, McAfee, Symantec, Doctor Web, Sophos, Trend Micro, FRISK, ALWIL, Grisoft, Softwin, Panda, และ Eset (NOD32) สำหรับลิงค์เข้าเว็บไซต์ของโปรแกรมเหล่านี้ เข้าไปดูได้ที่นี่ http://gotoknow.org/blog/ekkawits/197696
- Win32/Sality remover 1.1.0.153 ดาวน์โหลดมาใช้ได้ฟรี (พัฒนาโดย Grisoft)
http://www.softpedia.com/get/Antivirus/Win32-Sality-Remover.shtml
- วิธีการที่ยากขึ้นมาหน่อย เหมาะสำหรับคนที่เชี่ยวชาญด้านคอมพิวเตอร์
http://www.spywareremove.com/removeSality.html
ถ้ามีข้อสงสัยหรือมีอะไรผิดพลาดช่วยท้วงติงด้วยนะ ขอบคุณมากครับ
วันศุกร์ที่ 17 ตุลาคม พ.ศ. 2551
สมัครสมาชิก:
ส่งความคิดเห็น (Atom)
ไม่มีความคิดเห็น:
แสดงความคิดเห็น