วันที่ จันทร์ เมษายน 2551

พิมพ์หน้านี้  |  ดูบล๊อกอื่นๆ ที่ OKnation

 

ทำความรู้จัก Trojan กันเถอะ!


    เรื่องราวของม้า Trojan ในวงการคอมพิวเตอร์นั้นมีมานานแล้ว หลายคนคงเคยเห็นความร้ายกาจของตัวโทรจันมาแล้ว ผู้เขียนขอนำเรื่องราวของโทรจันมาเล่าสู่กันฟังอีกสักครั้ง
 
ทำไมต้องเป็นม้า?
        โทรจันเป็นชื่อตุ๊กตาม้าที่สร้างด้วยไม้ขนาดใหญ่ ซึ่งเป็นของขวัญที่ส่งไปให้ศัตรูในสมัยสงครามกรีก โดยที่มีทหารซ่อนอยู่ในตัวม้าโทรจันนั้น เมื่อศัตรูได้ของขวัญก็หลงดีใจนำเข้าไปไว้ในเมือง พอตอนกลางคืนทหาร ที่ซ่อนตัวอยู่ก็ปีนออกมาจากโทรจันและบุกเข้ายึดเมืองจนสำเร็จ
           โทรจันที่กล่าวถึงในบทความนี้เป็นชื่อเปรียบเทียบที่ใช้เรียก โปรแกรมที่ถูกส่งมาให้เราโดยผู้ไม่ประสงค์ดี ในโปรแกรมที่ส่งมานี้จะมีโค้ดบางส่วนที่สามารถเข้าไปแก้ไขโปรแกรมบ้างตัวของเรา หรือสั่งทำงานบาง อย่างที่ก่อให้เกิดความเสียหายขึ้นได้ ความแตกต่างระหว่างโทรจันและไวรัสปกติก็คือ โทรจันเป็นโปรแกรมเพียงโปรแกรมเดียวไม่แบ่งตัวไปติดไฟล์อื่น ๆ เหมือนไวรัส การทำงานของโทรจันมักจะต้องเริ่มขณะที่วิน โดวส์โหลด ดังนั้นจึงมักพบโทรจันได้ในรีจิสเตอร์ส่วนที่เป็น Auto Run ของวินโดวส์ เนื่องเป็นโปรแกรมดังนั้นการฆ่าโทรจันก็เพียงแต่ค้นหาไฟล์แล้วลบออก แต่ถ้าเป็นไวรัสจะต้องสแกนหาโค้ดในทุกไฟล์ที่ติดเพื่อจะ กำจัดออก

หลักการของโทรจัน
 
หลักการทำงานของโทรจันก็คือ ต้องมีโปรแกรมส่วนที่ทำหน้าที่เป็นเซิร์ฟเวอร์และไคลเอนต์ โดยที่คอมพิวเตอร์ของคุณไปรับเอาโทรจันของไว้ในเครื่อง เช่น โทรจันอาจแฝงตัวมาในรูปของฟรีแวร์หรือแชร์แวร์ที่เปิด ให้ดาวน์โหลดฟรี ๆ พอเราไปดาวน์โหลดมาแล้วติดตั้งไว้บนเครื่อง ส่วนโทรจันที่แฝงตัวอยู่ในซอฟต์แวร์เหล่านั้นจะทำหน้าที่เป็นเซิร์ฟเวอร์ในขณะที่คุณกำลังใช้อินเทอร์เน็ตอยู่ ดังนั้นผู้บุกรุกที่มีโทรจันซึ่งทำหน้าที่ เป็นไคลเอนต์ก็สามารถเชื่อมต่อเข้ากับเครื่องของคุณโดยที่คุณไม่รู้ตัว จากนั้นเขาเหล่านั้นก็สามารถเข้ามาขโมยอัพโหลด ดาวน์โหลด หรือเปิดดูข้อมูลต่าง ๆ ที่อยู่บนคอมพิวเตอร์ของคุณได้สบาย ๆ หรือแม้แต่สั่งลบ ไฟล์บางไฟล์ ฟอร์แมตฮาร์ดดิสก์ก็ทำได้ โทรจันส่วนใหญ่มีความสามารถบ้างอย่างที่คล้ายกัน เช่น มี Keylogger ทำ FTP ได้ทั้งดาวน์โหลดและอัพโหลด กำหนดพาสเวิร์ดในการแอ็กเซสเครื่องของเหยื่อเพื่อป้องกัน ไม่ให้มีคนอื่นแอบมาคอนเน็กเครื่องเหยื่อ หรืออาจเปิดพอร์ตบนเครื่องเหยื่อก็ได้ นอกจากนี้โทรจันบ้างตัวจะส่งอีเมล์จากเครื่องเหยื่อกลับไปหาผู้บุกรุกเมื่อโทรจันบนเครื่องเหยื่อถูกเรียกทำงานเป็นเซิร์ฟเวอร์ โดยส่ง ข้อมูลสำคัญบางอย่าง เช่น หมายเลข IP พาสเวิร์ด เป็นต้น มาให้ด้วย

ตัวอย่างโทรจันที่มีแพร่หลายอยู่ ได้แก่

NetBus ติดต่อผ่าน TCP หมายเลขพอร์ต 12345

Back Orifice ติดต่อผ่าน UDP หมายเลขพอร์ต 31336

Back Orifice ติดต่อผ่าน UDP หมายเลขพอร์ต 31337

WinCrash 1.03 ติดต่อผ่าน TCP หมายเลขพอร์ต 5742

WinCrash 2.0 ติดต่อผ่าน TCP หมายเลขพอร์ต 2583

Deep Throat ติดต่อผ่าน TCP หมายเลขพอร์ต 2140

Silencer ติดต่อผ่าน TCP หมายเลขพอร์ต 1001

Sockets de Troie ติดต่อผ่าน TCP หมายเลขพอร์ต 30303

Devil ติดต่อผ่าน TCP หมายเลขพอร์ต 65000

Girlfriend ติดต่อผ่าน TCP หมายเลขพอร์ต 21554

Millenium ติดต่อผ่าน TCP หมายเลขพอร์ต 20001

Masters Paradise ติดต่อผ่าน TCP หมายเลขพอร์ต 31

Phineas ติดต่อผ่าน UDP หมายเลขพอร์ต 2801

BackDoor ติดต่อผ่าน TCP หมายเลขพอร์ต 1999

Evil FTP ติดต่อผ่าน TCP หมายเลขพอร์ต 23456

Executor and HTTP ติดต่อผ่าน TCP หมายเลขพอร์ต 80

FTP ติดต่อผ่าน TCP หมายเลขพอร์ต 21


    มาตรการสำหรับรับมือโทรจัน
 
แนวทางในการป้องกันโทรจันที่พอจะทำได้ สำหรับเครื่องคอมพิวเตอร์ของคุณ ได้แก่

1. ไม่ควรดาวน์โหลดซอฟต์แวร์ประเภทแจกแถมฟรี หรือพวกแชร์แวร์ที่คุณไม่รู้จัก มาทดลองใช้โดยไม่จำเป็นเพราะ อาจนำโทรจันแฝงอยู่ในซอฟต์แวร์เหล่านั้นเข้ามาบนเครื่องได้

2. ไม่ควรดาวน์โหลดไฟล์หรือข้อมูลจากเว็บไซท์ใต้ดินโดยเด็ดขาด เพราะส่วนมากจะมีของแถมติดเข้ามาในเครื่องด้วย

3. ไม่ควรเปิดจดหมายของคนแปลกหน้าที่มีไฟล์ Attach มาด้วย ทางที่ดีควรลบทิ้งไปเลย เพราะโทรจันที่แฝงตัวมากับจดหมายมักจะใช้ข้อความเพื่อเชิญชวนให้ผู้รับเกิดความสนใจเปิดจดหมาย ตัวอย่างที่เคยเกิดมา แล้ว ก็คือ Love Letter ที่ก่อให้เกิดความเสียหายด้วยการลบไฟล์รูปภาพต่าง ๆ มาแล้วทั่วโลก

4. ติดตั้งซอฟต์แวร์ต่อต้านโทรจัน เช่น Norton Antivirus, F-prot, Antiviral Toolkit, Avast 32 เป็นต้น นอกจากนี้ควรอัพเดตข้อมูลเกี่ยวกับไวรัสใหม่โดยสม่ำเสมอ เพราะโทรจันรุ่นใหม่มักจะมีการเข้ารหัสโค้ดของตัวเอง ทำให้โปรแกรมต่อต้านไม่สามารถค้นพบได้

5. ติดตั้งซอฟต์แวร์ไฟร์วอลล์ เช่น Norton Internet Security, McAfee Internet GuardDog เป็นต้น

6. กรณีที่ซอฟต์แวร์ต่อต้านโทรจันเกิดมีการทำงานผิดพลาด หรือไม่ยอมทำงาน ทั้ง ๆ ที่ก่อนหน้านี้ไม่เคยมีความผิดปกติเลย ให้สงสัยไว้ก่อนว่าคุณอาจถูกบุกรุกจากผู้อื่นแล้ว และเครื่องของคุณอาจมีเซิร์ฟเวอร์ของ โทรจันอยู่ ดังนั้นขอให้แบ็กอัพข้อมูลที่สำคัญออกมา แล้วฟอร์แมตฮาร์ดดิสก์และติดตั้งซอฟต์แวร์ใหม่เลย

7. อาการอื่น ๆ ที่คุณควรสงสัยว่าอาจเกิดจากโทรจัน ได้แก่ ซีดีไดรฟ์เกิดอาการทำงานแปลก ๆ เช่น เปิดปิดฝาเอง มีแมสเสจบ็อกซ์แสดงข้อความแปลก ๆ แสดงขึ้นมา ไฟล์บนเครื่องหายไปเองโดยไม่มีร่องรอย ค่าที่กำหนดของวินโดวส์บางอย่างถูกแก้ไข ถ้ามีอาการเหล่านี้เกิดขึ้นควรรีบสแกนหาโทรจันได้เลย

ทั้งหมดนี้เป็นแนวทางเบื้องต้นที่จะป้องกันการบุกรุกจากโทรจันเท่านั้น ซึ่งอาจจะทำได้ไม่ร้อยเปอร์เซ็นต์ก็ได้ เพราะโทรจันตัวใหม่ ๆ ก็จะมีความสามารถเพิ่มขึ้นเรื่อย ๆ ดังนั้นก็คงต้องบอกว่าจงตั้งอยู่ในความไม่ประ มาทจะดีที่สุด





เครดิต se-ed.net/hacking
 

โดย aristotle

 

กลับไปที่ www.oknation.net