ความแตกต่างระหว่าง Virus, Worm, Spyware, Trojan, Malware

virus-pendrive

หลายคนคงเคยสงสัยว่าเจ้า Virus, Worm, Spyware, Trojan, Malware มีความแตกต่างกันอย่างไร ต่อไปนี้เราจะมาลองทำความรู้จักกับพวกมันกันสักนิด?

Virus

= แพร่เชื้อไปติดไฟล์อื่นๆในคอมพิวเตอร์โดยการแนบตัวมันเองเข้าไป มันไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้ ต้องอาศัยไฟล์พาหะ สิ่งที่มันทำคือสร้างความเสียหายให้กับไฟล์

Worm

= คัดลอกตัวเองและสามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้อย่างอิสระ โดยอาศัยอีเมลล์หรือช่องโหว่ของระบบปฏิบัติการ มักจะไม่แพร่เชื่อไปติดไฟล์อื่น สิ่งที่มันทำคือมักจะสร้างความเสียหายให้กับระบบเครือข่าย

Trojan

= ไม่แพร่เชื้อไปติดไฟล์อื่นๆ ไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้ ต้องอาศัยการหลอกคนใช้ให้ดาวน์โหลดเอาไปใส่เครื่องเองหรือด้วยวิธีอื่นๆ สิ่งที่มันทำคือเปิดโอกาสให้ผู้ไม่ประสงค์ดีเข้ามาควบคุมเครื่องที่ติดเชื้อ จากระยะไกล ซึ่งจะทำอะไรก็ได้ และโทรจันยังมีอีกหลายชนิด

Spyware

= ไม่แพร่เชื้อไปติดไฟล์อื่นๆ ไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้ ต้องอาศัยการหลอกคนใช้ให้ดาวโหลดเอาไปใส่เครื่องเองหรืออาศัยช่องโหว่ของ web browser ในการติดตั้งตัวเองลงในเครื่องเหยื่อ สิ่งที่มันทำคือรบกวนและละเมิดความเป็นส่วนตัวของผู้ใช้

Hybrid malware/Blended Threats

= คือ malware ที่รวมความสามารถของ virus, worm, trojan, spyware เข้าไว้ด้วยกัน

Phishing

= เป็นเทคนิคการทำ social engineer โดยใช้อีเมลล์เพื่อหลอกให้เหยื่อเปิดเผยข้อมูลการทำธุรกรรมทางการเงินบน อินเตอร์เน็ตเช่น บัตรเครดิตหรือพวก online bank account

Zombie Network

= เครื่องคอมพิวเตอร์จำนวนมากๆ จากทั่วโลกที่ตกเป็นเหยื่อของ worm, trojan และ malware อย่างอื่น (compromised machine) ซึ่งจะถูก attacker/hacker ใช้เป็นฐานปฏิบัติการในการส่ง spam mail, phishing, DoS หรือเอาไว้เก็บไฟล์หรือซอฟแวร์ที่ผิดกฎหมาย
Malware ย่อมาจาก Malicious Software หมายถึงโปรแกรมคอมพิวเตอร์ทุกชนิดที่มีจุดประสงค์ร้ายต่อคอมพิวเตอร์และ เครือข่าย หรือเป็นคำที่ใช้เรียกโปรแกรมที่มีจุดประสงค์ร้ายต่อ ระบบคอมพิวเตอร์ทุกชนิดแบบรวมๆ โปรแกรมพวกนี้ก็เช่น virus, worm, trojan, spyware, keylogger, hack tool, dialer, phishing, toolbar, BHO, etc

แต่เนื่องจาก virus คือ malware ชนิดแรกที่เกิดขึ้นบนโลกนี้และอยู่มานาน ดังนั้นโดยทั่วไปตามข่าวหรือบทความต่างๆที่ไม่เน้นไป ในทางวิชาการมากเกินไป หรือเพื่อความง่าย ก็จะใช้คำว่า virus แทนคำว่า malware แต่ถ้าจะคิดถึงความจริงแล้วมันไม่ถูกต้อง malware แต่ละชนิดไม่เหมือนกัน

คำว่าไวรัส (virus) ในปัจจุบันนี้ถูกใช้แบบไม่ค่อยจะถูกต้องตรงกับความเป็นจริงเท่าไหร่ อาจจะเป็นเพราะความเคยชินหรืออะไรก็ตามแต่ (ผมเองก็เป็น) มันกลายเป็นว่าคนส่วนใหญ่ใช้คำว่า virus แทน worm, trojan, adware, spyware, malicious code, etc. ใช้เรียกแทนยังไม่เท่าไหร่ แต่ถ้าเข้าใจว่า virus คือ malicious software ทั้งหมดที่บอกไปนั่น อันนี้เป็นความเข้าใจที่ผิด แม้กระทั่งในร่างกฎหมายอาชญากรรมทางคอมพิวเตอร์ก็ยัง มีการเสนอขอให้แก้ไขคำว่า virus โดยเปลี่ยนไปใช้คำว่า malware แทน เพราะถ้าไม่งั้นแล้วคนที่ใช้ worm, trojan โจมตีคนอื่นอาจจะไม่มีความผิด เพราะ worm, trojan ไม่ใช่ virus

ที่ถูกต้องใช้คำว่ามาลแวร์ ซึ่งมาจากคำในภาษาอังกฤษว่า malware (malicious software) อันหมายถึง โปรแกรมคอมพิวเตอร์ทั้งหมดที่ถูกออกแบบมาให้มีจุดประสงค์ร้ายต่อระบบ คอมพิวเตอร์และเครือข่าย โปรแกรมเหล่านี้ก็เช่น classic virus, worm, trojan, adware, spyware, toolbar, BHO, hijacker, downloader, phishing, exploit malware รวมไปถึง zero-day attack, zombie network และอื่นๆ

ความแตกต่างระหว่าง ไวรัส worm spyware trojan malware : http://www.pantip.com/tech/software/?SV1631943.html

ITW malware ใน the wildlist (แม้กระทั่งใน supplemental list) มากกว่า 90% เป็น worm (hybrid worm) ครับ ไม่ใช่ virus (classic virus) classic virus โดยเฉพาะแบบ file infector ที่แนบตัวมันเองเข้าไปยังส่วนต่างๆของไฟล์อื่น (host file) และ boot sector virus มันแทบจะหมดยุคไปแล้ว (อาจจะมีพวก proof-of-concept virus บ้าง) ที่ยังพบเห็นอยู่ใน the wildlist ส่วนใหญ่จะเป็น macro virus (ซึ่งเป็น virus บน PC ในยุคท้ายๆ) ซึ่งยังพบเห็นการแพร่ระบาดอยู่บ้าง และ virus ที่ชื่อ VBS/Redlof คือตัวอย่างของ classic virus ที่ยังพอพบเห็นได้ทั่วไป

Malware ที่พบเห็นการแพร่ระบาดทั่วไปและเหมือนจะสร้างความเสียหายให้กับระบบเศรษฐกิจ มากที่สุดก็คือ worm และ worm ก็ยังแบ่งออกเป็นชนิดแยกย่อยได้ดังต่อไปนี้

– Email Worm เช่น mass-mailing worm ที่ค้นหารายชื่ออีเมลล์ในเครื่องที่ตกเป็นเหยื่อแล้ว ก็ส่งตัวเองไปหาอีเมลล์เหล่านั้น
– File-sharing Networks Worm คัดลอกตัวเองไปไว้ในโฟลเดอร์ที่ขึ้นค้นหรือประกอบด้วยคำว่าด้วย sha และแชร์โฟลเดอร์ของโปรแกรม P2P เช่น KaZaa
– Internet Worm, Network Worm โจมตีช่องโหว่ของโปรแกรมและระบบปฎิบัติการเช่นเวิร์ม Blaster, Sasser ที่เรารู้จักกันดี
– IRC Worm ส่งตัวเองจากเครื่องที่ตกเป็นเหยื่อไปหาคนที่อยู่ในห้องสนทนาเดียวกัน
– Instant Messaging Worm ส่งตัวเองจากเครื่องที่ตกเป็นเหยื่อไปหาคนที่อยู่ใน contact list ผ่านทางโปรแกรม IM เช่น MSN, ICQ

Trojan เป็น malware อีกชนิดที่พบเห็นการแพร่ระบาดได้ทั่วไป trojan ยังแบ่งออกได้เป็นหลายชนิดดังนี้

– Remote Access Trojan (RAT) หรือ Backdoor ที่เปิดช่องทางให้ผู้ไม่ประสงค์ดีสามารถเข้ามาควบคุม หรือทำอะไรก็ได้บนเครื่องที่ตกเป็นเหยื่อในแบบระยะไกล
– Data Sending/Password Sending Trojan โขมยรหัสผ่านแล้วส่งไปให้ผู้ไม่ประสงค์ดี
– Keylogger Trojan ดักจับทุกข้อความที่พิมพ์ผ่านแป้นพิมพ์
– Destructive Trojan ลบไฟล์บนเครื่องที่ตกเป็นเหยื่อ
– Denial of Service (DoS) Attack Trojan ใช้ทำ DDoS เพื่อโจมตีระบบอื่น
– Proxy Trojan เปลี่ยนเครื่องที่ตกเป็นเหยื่อให้กลายเป็น proxy server หรือ web server, mail server เพื่อสร้าง zombie network
– FTP Trojan เปลี่ยนเครื่องที่ตกเป็นเหยื่อให้กลายเป็น FTP server
– Security software Killer Trojan ฆ่า process หรือลบโปรแกรมป้องกันไวรัส/โทรจัน/ไฟล์วอลบนเครื่องที่ตกเป็นเหยื่อ
– Trojan Downloader ดาวน์โหลด adware, spyware, worm เอามาติดตั้งบนเครื่องเหยื่อ

และ malware ที่พบเห็นได้ง่ายทั่วไปในปัจจุบันและสร้างความรำคาญใ ห้มากที่สุดก็คือ spyware (บางตำราอาจใช้คำว่า grayware) ซึ่งแบ่งออกได้เป็นหลายชนิด (ซึ่งบางส่วนก็มีพฤติกรรมคล้ายๆ trojan ด้วย) เช่น

– Adware ดาวน์โหลดและแสดงแบนเนอร์โฆษณา
– Dialer อยู่ตามเว็บโป๊เพื่อใช้ต่อโทรศัพท์ทางไกลไปต่างประเทศ
– Spyware เก็บรวมรวมพฤติกรรมการใช้อินเตอร์เน็ตบนเครื่องเหยื่อ
– Hijacker เปลี่ยนแปลง start page, bookmark บนบราวเซอร์เช่นใน IE
– Trojan like เช่น trojan downlaoder ดาวน์โหลด spyware หรือแบนเนอร์โฆษณา
– BHO (Browser Helper Objects) ยัดเยียดฟังก์ชั่นที่ไม่พึงประสงค์บนบราวเซอร์เช่นใน IE
– Toolbar ยัดเยียด toolbar ที่ไม่พึงประสงค์บนบราวเซอร์เช่นใน IE

และต่อไปนี้คือ trend ใหม่ของ malware บน PC ที่เกิดขึ้นแล้วในปัจจุบันและกำลังจะเกิดขึ้นในอนาคต อันใกล้ ซึ่งแต่เดิมนักเขียนไวรัสยุคโบราณเขียนไวรัสขึ้นเพราะความสนุก แต่ attacker ในปัจจุบันเขียน malware เพื่อเงินกันแล้ว มีการซื้อขายแลกเปลี่ยน zombie กันด้วยเช่น zombie จำนวน 5,000 เครื่องขาย 500 เหรีญอะไรแบบนี้

Hybrid malware/Blended Threat คือ malware ที่รวมความสามารถของ virus, worm, trojan, spyware เข้าไว้ด้วยกัน

Tags: , , , ,

About Mag

anything else... me is me!!! any question post for me...

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: