Clear
Lead Graphic Papers

การตรวจสอบและกำจัดมัลแวร์ด้วย MSRT

ผู้เขียน: เจษฎา ช้างสีสังข์
วันที่เผยแพร่: 24 ก.พ. 2555
ปรับปรุงล่าสุดวันที่: 24 ก.พ. 2555

Share on Facebook Share on Twitter Share on Google+

ปัจจุบันมีผู้ใช้งานระบบปฏิบัติการหลากหลายระบบ ซึ่งเปรียบเสมือนตัวกลางระหว่างฮาร์ดแวร์และโปรแกรมประยุกต์ที่ผู้ใช้ใช้กันอยู่ทั่วไป และ Windows ก็เป็นหนึ่งในระบบปฏิบัติการที่ผู้ใช้ทั่วไปนิยมใช้งาน จากสถิติการใช้งานในปี พ.ศ. 2554 พบว่ามีผู้ใช้งานระบบปฏิบัติการ Windows ถึง 93% เมื่อเทียบกับจำนวนผู้ใช้งานระบบปฏิบัติการอื่นๆ [1] หากมองในแง่ของความมั่นคงปลอดภัยแล้ว ก็อาจเป็นเหตุผลหนึ่งที่ทำให้ ผู้ไม่หวังดีพุ่งเป้ามาเพื่อโจมตีระบบปฏิบัติการ Windows ดังนั้น ผู้ใช้งานระบบปฏิบัติการ Windows จึงควรให้ความสนใจในการป้องกันการโจมตีจากผู้ไม่หวังดี เพื่อลดความเสียหายที่อาจจะเกิดขึ้นกับระบบ โดยการที่ผู้ใช้ควรมีการอัพเดตระบบปฏิบัติการอยู่เสมอ ซึ่งช่วยให้สามารถแก้ปัญหาช่องโหว่ของระบบ ตรวจสอบและกำจัดมัลแวร์ รวมทั้งเพิ่มประสิทธิภาพของระบบด้วย ในส่วนของโปรแกรมที่ทำหน้าที่ตรวจสอบและกำจัดมัลแวร์นั้น มีเครื่องมือหนึ่งที่แนะนำคือ Microsoft® Windows® Malicious Software Removal Tool (MSRT) เป็นเครื่องมือที่พัฒนาโดย Microsoft โดยสาเหตุที่แนะนำเครื่องมือนี้เนื่องจากติดตั้งได้ง่ายโดยจะมาพร้อมกับการอัพเดตระบบปฏิบัติการ สามารถใช้งานได้ฟรี เรียกใช้ได้ง่าย และมีการอัพเดตเวอร์ชันอย่างสม่ำเสมอทุกเดือน

ในบทความนี้ไม่ได้เป็นการประชาสัมพันธ์ทางการค้าเพื่อ Microsoft แต่เป็นการแนะนำเครื่องมือที่มีความเหมาะสมกับผู้ใช้ทั่วไป โดยบทความนี้จะอธิบายถึงคุณลักษณะและการทำงานของโปรแกรมเบื้องต้น ข้อดีข้อเสียของเครื่องมือ รูปแบบการใช้เครื่องมือ และตัวอย่างวิธีการใช้งาน

คุณลักษณะและการทำงานของโปรแกรม

MSRT ถูกเผยแพร่ครั้งแรกเมื่อวันที่ 1 มกราคม พ.ศ. 2548 โดยทำงานภายใต้ระบบปฏิบัติการ Windows 7, Windows Vista, Windows XP, Windows Server 2008 และ Windows Server 2003 MSRT นั้นไม่ได้ถูกออกแบบมาเพื่อใช้แทนโปรแกรมป้องกันไวรัส (Antivirus) แต่ใช้เพื่อทำงานร่วมกันกับโปรแกรมป้องกันไวรัส โดย MSRT นั้นมีความแตกต่างจากโปรแกรมป้องกันไวรัสอยู่ 2 ข้อ ดังนี้

1. MSRT จะกำจัดมัลแวร์ออกจากระบบได้ก็ต่อเมื่อเครื่องของผู้ใช้ติดมัลแวร์แล้ว ส่วนโปรแกรมป้องกันไวรัสจะสามารถยับยั้งไม่ให้มัลแวร์ติดตั้งตัวเอง ลงไปยังเครื่องของผู้ใช้ ดังนั้นผู้ใช้จึงควรติดตั้งโปรแกรมป้องกันไวรัสเพื่อใช้งานร่วมกับ MSRT
2. MSRT จะกำจัดได้เฉพาะมัลแวร์ที่อยู่ในรายชื่อของ Microsoft เท่านั้น ซึ่งเป็นมัลแวร์ที่เป็นอันตรายต่อระบบปฏิบัติการ Windows และมีอัตราการแพร่ระบาดสูง [2]

MSRT จะมีการอัพเดทเวอร์ชันใหม่ในทุกวันอังคารที่สองของเดือน ผ่านระบบ Windows Update, Microsoft Update และ Microsoft Download Center [3] [4] ซึ่งทุกครั้งที่มีการอัพเดทจะมีการเพิ่มข้อมูลของมัลแวร์ที่โปรแกรมสามารถตรวจสอบและกำจัดได้ โดย ในขั้นตอนแรกที่ผู้ใช้เปิดโปรแกรมขึ้นมา สามารถตรวจสอบรายชื่อของมัลแวร์ด้วยการคลิกที่ลิงก์ ดังรูปที่ 1

image00MSRT.png
รูปที่ 1 แสดงรายชื่อมัลแวร์ที่สามารถตรวจสอบและกำจัดได้

การเรียกใช้งาน MSRT นั้นสามารถเรียกใช้ได้ 2 วิธี ดังนี้

1. เรียกใช้ MSRT โดยตรง ซึ่งการเรียกใช้ดังกล่าว จะต้องทำการดาวน์โหลดจากเว็บไซต์ Microsoft Download Center มายังเครื่องผู้ใช้ก่อน โดยมีข้อดีคือ สามารถกำหนดรูปแบบการตรวจสอบได้ (มีอธิบายในหัวข้อถัดไป) และ สามารถเรียกใช้งาน MSRT เวลาใดก็ตามที่ผู้ใช้ต้องการ เช่นในกรณีที่พบความผิดปกติของระบบหรือ สงสัยว่าระบบติดมัลแวร์ ส่วนข้อเสียคือ ผู้ใช้จำเป็นต้องดาวน์โหลดโปรแกรมใหม่ทุกครั้งที่มีการอัพเดตเวอร์ชัน
2. เรียกใช้ MSRT โดยอัตโนมัติ หลังจากมีการอัพเดตเวอร์ชัน MSRT ผ่านระบบ Windows Update หรือ Microsoft Update ซึ่งเกิดขึ้นในวันอังคารที่สองของทุกเดือน โดยมีข้อดีคือ มีการอัพเดตเวอร์ชัน MSRT โดยอัตโนมัติ ส่วนข้อเสียคือ มีการเรียกใช้งานเพียงครั้งเดียวในช่วงเวลาหนึ่งเดือน

หลังจากที่มีการตรวจสอบระบบด้วย MSRT หากตรวจพบมัลแวร์ โปรแกรมจะทำการกำจัด มัลแวร์ออกโดยอัตโนมัติ และรายงานผลไปยัง Microsoft (มีกำหนดอยู่ในข้อตกลงการใช้งานโปรแกรม เรียกว่า EULA หรือ End-User License Agreement) [5][6] โดยผลการตรวจสอบที่ส่งไปยัง Microsoft จะถูกใช้ในการวิเคราะห์ข้อมูล เช่น การติดตามจำนวนการแพร่กระจายของมัลแวร์

ตัวอย่างการใช้งาน

1. เมื่อผู้ใช้เรียกใช้ MSRT จะพบกับหน้าต่างแสดงรายละเอียดของโปรแกรม ดังรูปที่ 2 ได้แก่ ลิงก์ไปยังหน้าเอกสารของโปรแกรมและรายชื่อมัลแวร์ที่สามารถตรวจจับได้

image01MSRT.png
รูปที่ 2 แสดงหน้าต่างเมื่อเริ่มต้น MSRT

2. คลิกปุ่ม Next จะแสดงหน้าต่างดังรูปที่ 3 เพื่อให้ผู้ใช้เลือกรูปแบบการสแกน (Scan type) โดยแต่ละรูปแบบมีความแตกต่างกันดังนี้

image02MSRT.png
รูปที่ 3 แสดงหน้าต่างการเลือกรูปแบบการสแกนมัลแวร์

  • Quick scan
      เป็นการตรวจสอบพื้นที่ของระบบที่มัลแวร์ส่วนใหญ่ใช้เป็นที่ฝังตัวอยู่ ถ้าพบมัลแวร์ โปรแกรมจะให้ทำการตรวจสอบแบบ Full Scan อีกครั้ง
  • Full scan
      เป็นการสแกนทุกส่วนของระบบ โดยจะตรวจสอบทุกไดรฟที่อยู่ในระบบ แต่ไม่รวมไดรฟของเครือข่ายที่เชื่อมต่อกับระบบ การสแกนแบบนี้ใช้เวลามากกว่า แบบ Quick scan
  • Customized scan
      เป็นการสแกนแบบ Quick scan โดยที่ผู้ใช้สามารถระบุโฟลเดอร์ที่ต้องการตรวจสอบเพิ่มเติมได้

3. เมื่อผู้ใชัเลือกรูปแบบการตรวจสอบแล้ว สามารถเริ่มดำเนินได้โดยการคลิกปุ่ม Next เพื่อทำการตรวจสอบ ดังรูปที่ 4

image03MSRT.png
รูปที่ 4 แสดง MSRT ขณะตรวจสอบระบบของเครื่องผู้ใช้

4. หลังจาก MSRT ตรวจสอบระบบเสร็จสิ้นแล้ว ในกรณีที่โปรแกรมไม่พบมัลแวร์ในระบบ จะแสดงหน้าต่างดังรูปที่ 5

image04MSRT.png
รูปที่ 5 แสดงหน้าต่าง MSRT แจ้งว่าตรวจไม่พบมัลแวร์

5. ในกรณีที่ MSRT ตรวจพบมัลแวร์ จะแสดงรายละเอียดที่พบ โดยผู้ใช้สามารถคลิกลิงก์แสดงผลการสแกน ดังรูปที่ 6

image05MSRT.png
รูปที่ 6 แสดงหน้าต่าง MSRT แจ้งว่าตรวจพบมัลแวร์

จะเห็นได้ว่า MSRT นั้น สามารถเพิ่มความมั่นคงปลอดภัยให้กับระบบได้ในระดับหนึ่ง โดยที่ผู้ใช้ไม่ต้องเสียค่าใช้จ่ายและเวลาในการสรรหาหรือติดตั้งโปรแกรม เพียงแค่ทำการตรวจสอบการอัพเดตระบบปฏิบัติการและเรียกใช้ MSRT อยู่เสมอ

อ้างอิง

1. http://netmarketshare.com/operating-system-market-share.aspx?qprid=8&qpcustomd=0&qptimeframe=Y&qpsp=2011
2. http://support.microsoft.com/kb/890830/
3. http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=16/
4. http://www.microsoft.com/security/pc-security/malware-removal.aspx
5. http://blogs.computerworld.com/what_you_dont_know_about_the_windows_malicious_software_removal_tool
6. http://www.brighthub.com/computing/smb-security/articles/46694.aspx#

Clear