หยุดไวรัสที่ต้นเหตุของไฟล์ Autorin.inf กันเถอะ

หลายองค์กรติดตั้งโปรแกรม antivirus ทั้งแบบฟรี และแบบเสียเงิน ทั้งแบบ stanalone และแบบ coporate แล้ว ทำไมในบริษัทยังมีไวรัสแพร่กระจายอยู่ จึงมีคำถามว่าการแก้ไวรัสแบบใช้โปแกรม antivirus นั้นตรงจุดแล้วหรือไม่? ผู้เขียนเคยแก้ปัญหาไวรัสให้กับบริษัทแห่งหนึ่ง ที่มีคอมพิวเตอร์เพียงสิบกว่าเครื่อง มีการเปิดแชร์ไฟล์ (โปรแกรม express)ผ่านคอมพิวเตอร์เครื่องหนึ่งที่เป็น windowsXP และเปิดแชร์เครื่องพิมพ์ผ่าน windows เช่นกัน คอมพิวเตอร์ทั้งหมดถ้าเสียจะถูกส่งซ่อมที่ร้านประจำ มีการใช้ซีดีรอม และแฟลชไดร์ฟ เพื่อส่งไฟล์งานระหว่างกันเป็นปกติ บริษัทนี้ไม่มีอินเทอร์เน็ต

ช่วงที่ทีมของเราได้เข้าไปแก้ไวรัสนั้น รุนแรงถึงขั้นต้องกู้ข้อมูลและฟอร์แมตคอมพิวเตอร์ใหม่หมดทุกเครื่องพรอ้มกับติดตั้งโปรแกรม antivirus ที่ดีที่สุด(เขาว่างั้น)ต่อมายังไม่หมดช่วงรับประกันเลยไวรัสกลับมาแพร่กระจายเหมือนเดิมและติดหมดทุกเครื่อง ถึงแม้จะมีโปรแกรม antivirus แล้วก็ตาม และก็เป็นไวรัสตัวเดิมที่เคยเจอก่อนฟอร์แมตนั่นแหละ.... คุณคิดว่าไวรัสกลับมาใหม่ได้อีกอย่างไร ? และโปรแกรม antivirus ที่ว่าดีที่สุดทำไมป้องกันไม่ได้ ?

นั่นเป็นเพระว่าเรามุ่งแก้ปัญหาไปที่ตัวที่ถูกกระทำคือคอมพิวเตอร์ แต่ไม่ได้มุ่งแก้ปัญหาไปที่ตัวกระทำ หรือต้นเหตุแห่งการกระทำคือคนและอุปกรณ์นำเข้าข้อมูลต่าง ๆ ทั้ง ๆที่ครูบาอาจารย์ก็สอนว่าองค์ประกอบของการใช้คอมพิวเตอร์นั้นประกอบด้วย peopleware / software และ hardware ตัว software เราป้องกันด้วยโปรแกรม antivirus ตัว hardware เช่น flash drive แผ่น cd และพวก removeable drive ต่าง ๆ ยังไม่ได้จัดการป้องกันที่เหมาะสม และตัว poepleware ก็ยังไม่ได้จัดการป้องกันเช่นกัน ทำให้ไวรัสยังหวนกลับมาได้อีก การป้องกันไวรัสที่ได้ผลจึงต้องจัดการให้ได้ทั้งสามส่วนนี้คือ
1. Peopleware
2. Hardware
3. Software
โดยการให้ความรู้ที่ถูกต้อง เมื่อรู้แล้วก็ตรวจสอบป้องกันด้วยตนเองได้ โดยแทบจะไม่ต้องเสียเงินสำหรับโปรแกรม antivirus เลย

ทีนี้ย้อนกลับมาดูบริษัทต้นแบบของเราที่เกริ่นไว้แต่ต้น วิเคราะห์แล้วพบว่าไวรัสมากับ flash drive โดยมีไฟล์ autorun.inf เป็นตัวกลางให้ไวรัสทำงาน เมื่อ user ของเราเสียบ flash drive เข้าไปในเครื่องฟังก์ชั่น autoplay อันชาญฉลาดของวินโดสว์ก็เปิด flash drive เพื่อหา application ที่เหมาะสมเปิดไฟล์ไวรัสตามคำสั่งของ autorin.inf เมื่อปรากฏชื่อไดร์ฟบน My Computer user ของเราก็ดับเบิลคลิกเปิดไฟล์เอกสารต่าง ๆ เป็นการกระตุ้นให้ไฟล์ไวรัสทำงานต่ออีกไม่รู้จบ ... และวนเวียนอยู่อย่างนี้ โปรแกรม antivirus ที่โชว์ไอคอนอยู่ taskbar ก็แสนซื่อบอกตรวจไม่พบไวรัส เพราะไฟล์ autorun.inf ก็เป็นไฟล์ text ธรรมดา ๆ นี่แหละ ฉะนั้นเราจึงแก้ปัญหานี้ที่ต้นเหตุคือแนะนำ peopleware ให้ตรวจสอบหาไวรัสก่อนใช้ flash drive ก่อน ดังนี้

1. ก่อนใช้ flash drive ให้ตรวจสอบหาไฟล์ autorin.inf และดูเนื้อหาของไฟล์ว่าไวรัสฝังอยู่ที่ไหน แล้วตามลบให้หมดเสียก่อน โดยให้ใช้คำสั่งใน command ของ windows เป็นหลัก ในตัวอย่างนี้จะใช้ของจริงที่ติดที่ไดร์ฟ C:
ไปที่ Start -> Run.. -> พิมพ์คำสั่ง cmd แล้วกด enter

2. โปรแกรม cmd จะเปิดหน้าต่าง Command Prompt ขึ้นมา โดยตำแหน่งแรกของเคอร์เซอร์ จะอยู่ที่ C:\Document and Settings\username>_ ณ ตำแหน่งนี้ให้พิมพ์คำสั่ง cd\ กด enter เพื่อย้ายไปที่ c:\ จากนั้นให้พิมพ์คำสั่ง dir /ah แล้วค้นหาว่ามีไฟล์ชื่อ autorun.inf หรือไม่ ถ้ามีให้กระทำต่อไปในข้อ 3



3. พิมพ์คำสั่ง type autorun.inf เพื่อตรวจสอบไฟล์ autorun.inf ไปเรียกไวรัสตัวไหนมาทำงาน ตามตัวอย่างนี้ไฟล์ไวรัสชือว่า l6hub0.com ซึ่งหลังจากลบไฟล์ autorun.inf ได้แล้วเราต้องตามลบไฟล์นี้ตามไดร์ฟทั้งหมด และใน registry ด้วย



4. จากนั้นให้พิมพ์คำสั่ง attrib autorun.inf หรือ attrib * จะพบว่าไฟล์เป้าหมายของเรามีรหัสนำหน้าว่า SHR โดยเราจะทำการคลายล๊อกตัวอักษรเหล่านี้ด้วยคำสั่งตามข้อ 5



5. โชคดีใน ข้อ 4 เราเจอไฟล์ไวรัสฝั่งอยู่ใน C: พร้อมกับ autorun.inf ให้คลายล๊อกด้วยคำสั่ง attrib -s -h -r autorin.inf


6. ลบไฟล์ autorun.inf ด้วยคำสั่ง del autorun.inf

ปัญหาที่อาจจะพบได้ในขั้นตอนนี้คือ ลบไฟล์ autorun.inf ไม่ได้ หรือลบไปแล้วไฟล์ autorun.inf ยังมีปรากฏอยู่อีก นั่นหมายความว่าเครื่องได้ติดไวรัสไปแล้วและมี process ของไวรัสได้ทำงานเป็น auto ไปแล้ว อย่างไรก็ดีความรู้จากการตรวจสอบนี้จะมีประโยชน์เมื่อคอมพิวเตอร์ไม่มไวรัสอยู่ก่อน และตัว hardware ที่ user ใช้จะเป็นสื่อนำไวรัสไปติดก็จะสามารถป้องกันได้ในเบื้องต้น

ตอนที่สองของเรื่องนี้จะพูดถึงการป้องกันตัว software คือ windows ไม่ให้เปิดใช้ฟังก์ชั่น autorun เพื่อสกัดกั้นการทำงานของไวรัสขณะเสียบ flash drive

ขอบคุณลิงค์ที่มีประโยชน์ต่อไปนี้

How-To Tuesday: Disable AutoRun on Windows
Disabling Autoplay for ALL removable media
Microsoft Security Advisory (967940)Update for Windows Autorun
Disable Autoplay of Audio CDs and USB Drives