suksit dot com

มีวิธีตรวจสอบง่ายๆ ว่า USB flash drive หรือ external harddisk ของเรา ติดไวรัสหรือเปล่ามาแนะนำครับ

ขั้นตอนแรกคือสร้างไฟล์ autorun.inf ไว้ใน USB flash drive ของเรา โดยใส่ข้อมูลดังนี้

[autorun]
label=KONG :)

จากนั้นเปิดหน้าต่าง Command Prompt แล้วเปลี่ยน drive ไปที่ usb flash drive (สมมติว่าอยู่ drive G)

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
 
C:\Documents and Settings\kong> g:
G:\> attrib +r +h +s autorun.inf
G:\> exit

แล้วก็เปิด Windows Explorer ขึ้นมา คลิกขวาที่ USB flash drive เลือก Properties แล้วเปลี่ยนชื่อ drive เป็นอะไรก็ได้ ที่ไม่เหมือนกับในไฟล์ autorun.inf

เสร็จแล้วฮะ! หลักการของมันก็ตรงไปตรงมา คือปกติพอเสียบ USB flash drive เข้าไป วินโดวส์จะอ่านไฟล์ autorun.inf แล้วแสดงชื่อ drive ตามที่เราตั้งไว้ เช่น KONG :)

แต่ถ้าวันดีคืนดี USB flash drive เราไปติดไวรัสมา มันก็จะเขียนไฟล์ autorun.inf ทับไฟล์ของเรา ซึ่งไอ้ไฟล์ autorun.inf ของไวรัส มันไม่มี section label=xxx อยู่ ทำให้เวลาเสียบเข้าไปแล้ว ชื่อ drive จะกลายเป็นชื่อที่เราตั้งไว้ใน Properties แทน ตามรูป

จริงๆ มันก็มั่นใจได้ไม่ 100% หรอกครับว่าติดหรือไม่ติด ถ้าเป็นไวรัสประเภทที่ไม่เขียนไฟล์ autorun.inf ก็ไม่มีทางรู้ หรือบางที antivirus ไม่ค่อยฉลาด มองเป็น false positive ลบไฟล์ autorun.inf ทิ้งเฉย =.= แต่อย่างน้อย เราก็สังเกตเห็นความผิดปกติของ drive ได้ง่าย จะได้ระวังเวลาใช้งานมากขึ้น

ข้อดีอีกอย่างของการใช้ autorun.inf คือ เราสามารถตั้งชื่อ drive โดยใช้ตัวอักษรที่ปกติวินโดวส์ไม่อนุญาต เช่น เครื่องหมายโคลอน (":") และสามารถตั้งชื่อ drive ความยาวมากกว่า 8 ตัวอักษรได้

อีกอย่างที่ผมชอบก็คือ เราสามารถกำหนดไอคอนให้ USB flash drive ของเราได้ โดย copy ไฟล์ไอคอนที่ต้องการไปไว้ใน USB flash drive (สมมติว่าไฟล์ไอคอนชื่อ usb.ico) แล้วเพิ่มข้อมูลในไฟล์ autorun.inf เป็น

[autorun]
label=KONG :)
icon=usb.ico

ผลลัพธ์ที่ได้คือ

ช่วงสองอาทิตย์ที่แล้ว ผมเจอโทรจัน RavMonE.exe กับ iexp1ore.exe ในเกือบทุกเครื่องในที่ทำงาน ซึ่งส่วนใหญ่จะเป็นเครื่องที่ลง NOD32 พร้อม virus definition ที่อัพเดตล่าสุด ให้ตายสิ :em47:

ตอนแรกยังทำใจไม่ได้ เพราะอุตส่าห์ไปโฆษณาชาวบ้านไว้ตั้งเยอะ ว่ามันสุดยอด เป็นโปรแกรมเดียวที่ผมซื้อ license นะ เลยบอกให้เอา thumb drive ที่มีไวรัส มาสแกนในโน๊ตบุ๊คของผม... ผลคือ เงียบ! NOD32 มัน detect ไอ้โทรจันสองตัวนี้ไม่ได้เลย (ตั้งค่าทุกอย่างเป็น maximum ก็ยังหาไม่เจอ) แต่พอเอาไปเสียบอีกเครื่องนึงที่ลง Active Virus Shield ก็มี message เด้งขึ้นมาเตือนว่าเจอทันที

สุดท้ายเลยตัดสินใจว่าคงต้องลง antivirus ตัวอื่นแทน ซึ่ง candidate ที่เข้าตา (a.k.a. ฟรีและดี) ก็มีอยู่ 3-4 ยี่ห้อ คือ

• avast! Home Edition
• AVG Anti-Virus Free Version
• Avira AntiVir Personal Edition Classic
• AOL Active Virus Shield

ถ้าดูจากผลการทดสอบใน AV-Comparatives แล้ว ที่ดูมีภาษีกว่าน่าจะเป็น AntiVir กับ Active Virus Shield แต่ก็ไม่รู้จะเชื่อใจได้แค่ไหน เพราะ NOD32 ก็ได้คะแนนสูงเหมือนกัน :em35:

ลองโหลดทั้งสองตัวมาลง แล้วก็ตัดสินใจเลือก AntiVir เพราะ AVS ลงไปแล้วเครื่องอืดทันตาเห็น

ลง AntiVir เสร็จ ก็สั่ง full system scan เซ็งหน่อยๆ ตรงที่ขนาดยังไม่ได้อัพเดต virus definition ก็ยังเจอไอ้สองตัวที่ว่า แถมด้วยเวิร์มอะไรอีกซักอย่าง... ลาก่อน NOD32

ปล.[0] ที่เซ็งหนักกว่าเดิมคือ ตอนแรกยังมีความหวังใน NOD32 อยู่ เลยพยายามส่งไฟล์โทรจันไปให้ที่ sample@nod32.com เผื่อจะทำอะไรได้บ้าง แต่ปรากฏว่า Gmail ฟ้องว่ามีไวรัส และไม่ยอมให้ attach ไฟล์ เลยส่งเมล์เปล่าๆ ไป แถมแซวไปหน่อยว่า เนี่ย พยายามส่งไฟล์ตัวอย่างที่ NOD32 detect ไม่เจอไปให้นะ แต่ attach ไฟล์ไม่ได้ เพราะ Gmail มัน detect ได้ว่าเป็นไวรัส

ปล.[1] ได้เมล์ตอบกลับมาแล้ว เหมือนที่แซวไปจะไม่ได้ผลแฮะ :em22: