Clear
Lead Graphic Papers

ชื่อไวรัสคอมพิวเตอร์บ่งบอกอะไรบ้าง?

ผู้เขียน: พรพรหม ประภากิตติกุล
วันที่เผยแพร่: 15 ธ.ค. 2554
ปรับปรุงล่าสุดวันที่: 15 ธ.ค. 2554

Share on Facebook Share on Twitter Share on Google+

หลายคนคงเคยใช้งานโปรแกรมแอนตี้ไวรัส (Antivirus) และคงเคยเจอกับสภาพหน้าจอคอมพิวเตอร์ที่มีการแจ้งเตือนการพบเจอไวรัส (Virus alert) ดังเช่นภาพที่ 1

virusname1.png virusname2.jpg

รูปภาพประกอบจาก [1] [2]


ซึ่งเหตุการณ์ดังกล่าวมักจะเกิดขึ้นตอนที่เครื่องคอมพิวเตอร์กำลังดาวน์โหลดไฟล์ไวรัสหรือกำลังประมวลผลไฟล์ไวรัส โดยส่วนใหญ่แล้วการแสดงข้อมูลแจ้งเตือนไวรัสจะบอกถึงข้อมูลสำคัญสองส่วนหลักๆ คือ ตำแหน่งที่อยู่ของไฟล์ไวรัส และชื่อของไวรัสที่พบ ซึ่งหลายคนคงเคยมีความสงสัยถึงชื่อของไวรัสที่แสดง ว่ามีความหมายว่าอย่างไร และแต่ละชื่อมีมาตรฐานหรือใช้กฎเกณฑ์ใดในการตั้งชื่อของไวรัสหรือไม่ ในบทความนี้จะอธิบายถึงข้อมูลที่เกี่ยวข้องกับรูปแบบการตั้งชื่อไวรัสและความหมายของชื่อไวรัส เพื่อให้ผู้อ่านเข้าใจถึงรายละเอียดจากชื่อไวรัสได้ในเบื้องต้น โดยมีข้อมูลที่สำคัญดังต่อไปนี้

ไวรัสคืออะไร

ไวรัสคือโปรแกรมไม่พึงประสงค์หรือมัลแวร์ (Malware) ประเภทหนึ่งที่ถูกเผยแพร่โดยใช้เทคนิคหรือกลยุทธ์ต่างๆ เพื่อหลอกล่อให้ผู้ใช้งานหรือเหยื่อติดไวรัสดังกล่าว โดยส่วนใหญ่จะใช้การหลอกให้ดาวน์โหลดและติดตั้งโดยอัตโนมัติ ซึ่งผลจากการติดไวรัส จะทำให้เครื่องคอมพิวเตอร์ของเหยื่อตกอยู่ในการควบคุมของไวรัสดังกล่าว โดยในตัวอย่างของไวรัสประเภทหนึ่ง พบว่ามีการขโมยข้อมูลบนเครื่องคอมพิวเตอร์ของเหยื่อ เพื่อส่งไปยังเครื่องคอมพิวเตอร์ของผู้โจมตี

รูปแบบการตั้งชื่อไวรัส

ปัจจุบันชื่อไวรัสที่ค้นพบใหม่ จะถูกกำหนดโดยบริษัทผู้พัฒนาโปรแกรมแอนตี้ไวรัส เนื่องจากใช้เป็นข้อมูลอ้างอิงเพื่อบอกผู้ใช้งานให้ทราบถึงข้อมูลไวรัสที่พบ โดยไม่ได้มีมาตรฐานกลางหรืองค์กรใดองค์กรหนึ่งเป็นผู้กำหนดรูปแบบหรือชื่อไวรัสดังกล่าว สาเหตุหลักคือบางครั้งการอ้างอิงชื่อไวรัสจากแหล่งอื่น ๆ เป็นไปได้ยาก เนื่องจากเป็นไวรัสที่ถูกค้นพบใหม่ จะยังไม่อยู่ในฐานข้อมูลของบริษัทใดบริษัทหนึ่ง ซึ่งทำให้ไวรัสตัวเดียวกันสามารถมีชื่อเรียกที่แตกต่างกันได้ [3] แต่ส่วนใหญ่จะพบว่าในแต่ละผู้พัฒนาโปรแกรมแอนตี้ไวรัสจะมีการกำหนดรูปแบบของชื่อไวรัสไปในทิศทางเดียวกัน ซึ่งมีการระบุข้อมูลออกเป็น 4 ส่วนหลักคือ การระบุประเภทไวรัสหรือมัลแวร์ (Prefix) การระบุชื่อของไวรัส (Name) การระบุสายพันธุ์ของไวรัส (Suffix) และการระบุวิธีการแพร่กระจายของไวรัส (Modifer) ตามลำดับ [4] โดยมีรายละเอียดดังต่อไปนี้

  • Prefix ใช้ในการระบุประเภทหรือลักษณะของการโจมตีของไวรัสหรือมัลแวร์ หรืออาจใช้เป็นข้อมูลของระบบที่มีผลกระทบของไวรัสดังกล่าว ยกตัวอย่างเช่น W32 หรือ Win32 หมายถึงเป็นไวรัสที่มีผลกระทบต่อ Windows 32-bit เป็นหลัก (พบว่าผู้ใช้ Windows 64-bit สามารถติดไวรัสที่เป็น W32 ได้ [5]) หรือ OM หมายถึงมาโครไวรัสบน Microsoft Office เป็นต้น โดยปกติแต่ละบริษัทผู้พัฒนาโปรแกรมแอนตี้ไวรัสจะมีตารางแสดงถึงข้อมูลอธิบายชื่อและความหมายเพื่อให้ผู้ใช้งานทราบถึงความหมายเบื้องต้น เช่น Symantec [6] หรือ Avira [7]
  • Name เป็นส่วนที่ผู้ค้นพบไวรัสมักใช้เพื่อบอกชื่อสายพันธุ์ของไวรัสนั้นๆ โดยอาจจะเป็นการตั้งชื่อใหม่หรือใช้เป็นชื่อเดิม [8] เพื่อบ่งบอกถึงสายพันธุ์ของไวรัสนั้นๆ โดยปกติการระบุข้อมูลชนิดนี้ มักจะใช้เครื่องหมาย เช่น _ . หรือ / เพื่อคั่นระหว่างข้อมูล Prefix เช่น W32/Bagle โดย Bagle เป็นชื่อเรียกของไวรัส และ W32 เป็นข้อมูล Prefix ที่แสดงถึงไวรัสดังกล่าวสามารถทำงานได้บน Windows 32-bit
  • Suffix เป็นส่วนที่ระบุสายพันธุ์ไวรัสย่อยที่มีความแตกต่างกันไป โดยลักษณะของการระบุข้อมูลจะใช้ตัวอักษรภาษาอังกฤษ และใช้เครื่องหมายเช่น _ - หรือ . เพื่อคั่นระหว่างข้อมูลชื่อไวรัสและสายพันธุ์ย่อยดังกล่าว เช่น W32/Bagle.A หรือ W32/Bagle-B โดยลักษณะของการระบุสายพันธุ์ย่อยนอกจะเรียงตามตัวอักษร A ถึง Z แล้ว หากจบตัวอักษรสุดท้ายแล้วจะเริ่มต้นใหม่ที่ AA ไปจนถึง ZZ ไปเรื่อยๆ
  • Modifer เป็นส่วนที่ระบุคุณสมบัติเพิ่มเติมของไวรัสตัวดังกล่าว เช่น วิธีการแพร่กระจายของไวรัสที่พบ โดยส่วนใหญ่จะถือเป็น Optional หมายถึงอาจไม่จำเป็นต้องใส่ก็ได้ และถือเป็นข้อมูลส่วนสุดท้ายในการตั้งชื่อไวรัส โดยลักษณะของการระบุข้อมูลดังกล่าวขึ้นอยู่กับความเข้าใจของแต่ละผู้สื่อสารว่าจะสื่อถึงข้อมูลแบบไหน ซึ่งอาจไม่มีกฎเกณฑ์ที่ตายตัว โดยจากข้อมูลเบื้องต้นสามารถอธิบายตัวอย่างที่พบได้ดังนี้ [9]
    • ใช้เครื่องหมาย @ แล้วตามด้วยตัวอักษรย่อของวิธีการเผยแพร่ไวรัส เช่น @mm หมายถึงไวรัสชนิดนี้ถูกเผยแพร่ผ่านทางอีเมล โดย mm ย่อมาจาก mass-mailing
    • ใช้เครื่องหมาย : แล้วตามด้วยตัวอักษรย่อที่ระบุถึง Encoding ที่สนับสนุนการทำงานของไวรัส เช่น :Uni หมายถึงไวรัสชนิดนี้สามารถทำงานภายใต้แพลตฟอร์มของระบบที่รองรับการอ่านเขียนข้อมูลแบบ Unicode

ตัวอย่างการอ่านชื่อไวรัส

  • Bagle.BB@mm เป็นไวรัสสายพันธุ์ชื่อ Bagle เป็นไวรัสสายพันธุ์ย่อยชื่อ BB เผยแพร่ผ่านอีเมลและส่งผลต่อระบบปฎิบัติการ Windows 32-bit
  • I-Worm/Gaobot.BOW. เป็นไวรัสสายพันธุ์ชื่อ Gaobot เป็นไวรัสสายพันธุ์ย่อยชื่อ BOW และมีลักษณะการทำงานที่เป็น Internet Worm

การเรียนรู้ข้อมูลการตั้งชื่อไวรัสอาจไม่ได้ทำให้เราสามารถเข้าใจการทำงานหรือคุณลักษณะเฉพาะของไวรัสได้ทุกตัว แต่อย่างน้อยก็เป็นแนวทางในการสืบค้นข้อมูลบนอินเทอร์เน็ต เพื่อช่วยให้เราเข้าใจลักษณะการทำงานของไวรัสนั้นได้มากขึ้น

อ้างอิง

1. http://www.prlog.org/11360953-how-to-remove-antivirus-software-alert.html
2. http://0100101110101101.org/download/biennalepy.html
3. http://www.cknow.com/cms/vtutor/virus-names.html
4. http://antivirus.about.com/od/whatisavirus/a/virusnames.htm
5. http://computervirus.uw.hu/ch04lev1sec3.html
6. http://www.symantec.com/security_response/virusnaming.jsp
7. http://www.avira.ro/en/virus_information/malware_naming_conventions.html
8. http://en.wikipedia.org/wiki/List_of_computer_viruses
9. http://www.caro.org/articles/namingupdated.html

Clear