ไวรัสที่สามารถแพร่เข้าสู่ไฟล์ .JPEG

เริ่มกันเลย

W32.Perrun เป็นไวรัสที่สามารถแพร่เชื้อใส่ไฟล์ชนิด .jpg และ .txt ได้โดยการเติม code ของตัวมันต่อท้ายไฟล์ต้นฉบับ อย่างไรก็ดีส่วนที่เป็น code ของไวรัสนี้

ยัง ไม่สามารถแพร่กระจายเชื้อไวรัสไปยังเครื่องคอมพิ วเตอร์เครื่องอื่นได้เองในขณะนี้ ข้อมูลรูปภาพเดิมในไฟล์ .jpg ต้นฉบับที่ติดไวรัสนี้จะไม่สามารถแสดงขึ้นมาบนจอ

มอนิเตอร์ได้ถ้ าหากในเครื่องของเราไม่มีไฟล์ Shimgvw.dll ติดตั้งไว้ในไดเรกทอรี C:WindowsSystem และข้อความเดิมในไฟล์ .txt ต้นฉบับจะไม่สามารถอ่าน

จากไฟล์ที่ติดไวรัสนี้ได้ถ้าหากในเครื่อ งของเราไม่มีโปรแกรม Notepad.exe ติดตั้งไว้ในไดเรกทอรี C:Windows

W32.Perrun เป็นไวรัสที่สามารถแพร่เชื้อใส่ไฟล์ชนิด .jpg และ .txt ได้โดยการเติม code ของตัวมันต่อท้ายไฟล์ต้นฉบับ อย่างไรก็ดีส่วนที่เป็น code ของไวรัสนี้

ยัง ไม่สามารถแพร่กระจายเชื้อไวรัสไปยังเครื่องคอมพิ วเตอร์เครื่องอื่นได้เองในขณะนี้ ข้อมูลรูปภาพเดิมในไฟล์ .jpg ต้นฉบับที่ติดไวรัสนี้จะไม่สามารถแสดงขึ้นมาบนจอ

มอนิเตอร์ได้ถ้ าหากในเครื่องของเราไม่มีไฟล์ Shimgvw.dll ติดตั้งไว้ในไดเรกทอรี C:WindowsSystem และข้อความเดิมในไฟล์ .txt ต้นฉบับจะไม่สามารถอ่าน

จากไฟล์ที่ติดไวรัสนี้ได้ถ้าหากในเครื่อ งของเราไม่มีโปรแกรม Notepad.exe ติดตั้งไว้ในไดเรกทอรี C:Windows

เจ้า ไวรัส W32.Perrun นี้เป็นไวรัสที่ออกแบบมาเพื่อทดสอบแนวคิดใหม่จึงยังไม่มีการทำล ายล้างที่รุนแรงและยังไม่แพร่ระบาดออกไปในวงกว้างครับ นอกจากไวรัส

Perrun แล้วผู้พัฒนาไวรัสนี้ยังได้ปล่อยไวรัสกลายพันธ์ออกมาอีกตัวด้วย โดยสายพันธ์ b นี้มุ่งโจมตีไฟล์ข้อความที่มีนามสกุลเป็นชนิด .txt วิธีการทำงานของไวรัสสาย

พันธ์ b นี้เหมือนกับการทำงานของไวรัส W32.Perrun ต้นฉบับทุกประการ โดยต่างกันเพียงแค่ชนิดของไฟล์ที่เป็นเป้าหมายในการแพร่เชื้อเท ่านั้น

ลักษณะโดยทั่วไปของไวรัส W32.Perrun

ไวรัส ที่แพร่เชื้อเติมท้ายไฟล์นี้เป็นไวรัสตัวแรกที่สามารถแพร ่เชื้อใส่ไฟล์ชนิด JPEG ได้ มันเป็นไวรัสที่ประกอบด้วยส่วนประกอบหลายๆ ส่วนและต้องใช้ส่วนประกอบของ

มันที่เป็นตัวสกัดไฟล์ในการแกะเอา code ของตัวมันที่เป็นโปรแกรมไวรัสออกมาจากไฟล์ชนิด JPEG ที่ติดเชื้อและเรียกให้โปรแกรมไวรัสทำงาน


ถ้า หากเรานำไฟล์ชนิด JPEG หรือชนิด TXT ที่ติดเชื้อไวรัส Perrun แล้วไปเปิดหรือใช้งานบนเครื่องคอมพิวเตอร์เครื่องอื่น เจ้าไวรัส Perrun จะไม่สามารถออกมา

ทำงานบนหน่วยความจำและแพร่เชื้อใส่ไฟล์บนเครื่ องดังกล่าวได้เพราะมันจำเป็นต้องใช้ไฟล์ Extrk.exe หรือ Textrk.exe ในการเรียกใช้งาน (execute) ตัวมัน

และในการเขียน code ของมันแพร่เชื้อต่อท้ายไฟล์อื่นๆ

วิธีการติดตั้งตัวเองของไวรัส W32.Perrun

เจ้า ไวรัสจะนี้จะบุกมาถึงเครื่องของเราในรูปแบบของไฟล์ที่ประม วลผลได้ชนิด Portable Executable (PE) ที่มีขนาด 11,780 ไบต์ ซึ่งไฟล์ไวรัสนี้จะถูกตรวจจับ

ว่าเป็นไวรัส W32.Perrun.dr โดยโปรแกรมตรวจสอบไวรัส Norton Antivirus หรือเป็นไวรัส W32/Alcop@MM โดยโปรแกรมตรวจสอบไวรัส McAfee

VirusScan หากเราเผลอเรียกให้ไฟล์ไวรัสนี้ทำงานมันก็จะทำการติดตั้งตัวเอง ลงในเครื่องของเราดังนี้

# มันจะติดตั้งไฟล์ Reg.mp3 ซึ่งเป็นไฟล์ registry ที่เจ้าไวรัส Perrun จะใช้ในการแก้ไข registry ในเครื่องของเรา

# มันจะติดตั้งไฟล์ Extrk.exe หรือ Textrk.exe ซึ่งเป็นไฟล์ที่ประมวลผลได้ที่จะถูกตั้งค่า registry ให้ทำการเรียกใช้ไฟล์นี้เมื่อมีการเปิดไฟล์ชนิด .jpg หรือ .txt

ใดๆ

สำหรับ ไฟล์ Extrk.exe นี้เป็นส่วนประกอบของไวรัสที่ทำหน้าที่สกัดเอาโปรแกรมของไวรัส Perrun ที่ฝังอยู่ในรูปภาพออกมาทำงาน ขนาดของไฟล์ Extrk.exe คือ

5,636 ไบต์และจะถูกติดตั้งไว้ในไดเรกทอรีที่กำลังใช้งานอยู่ในขณะนั้น ทั้งโปรแกรมของไวรัส Perrun และโปรแกรม Extrk.exe นี้ต่างก็ถูกพัฒนาขึ้นมาด้วยภาษาวิ

ชวลเบสิก 6 และถูกบีบอัดขนาดไฟล์ไว้ด้วยโปรแกรม utility UPX ครับ

หลัง จากนั้นเจ้าไวรัส Perrun จะทำการแก้ไขค่า registry ในเครื่องของเราในส่วนที่เกี่ยวข้องกับการเรียกดูไฟล์รูปภาพ JPEG โดยแก้ไขค่า registry

HKEY_LOCAL_MACHINESoftwareClassesjpegfileshellopencommand

ให้เป็น

extrk.exe %1

ซึ่ง จะมีผลทำให้เมื่อเราเรียกดูไฟล์ชนิด JPEG ไฟล์ส่วนประกอบสำหรับสกัดโค้ดของไวรัส (โปรแกรม Extrk.exe) จะถูกเรียกให้ขึ้นมาทำงานบนหน่วยความจำ

โปรแกรมสกัดโค้ดนี้จะตรวจ สอบรูปภาพที่เราเรียกดูว่ารูปดังกล่าว ติดเชื้อไวรัส Perrun อยู่แล้วหรือไม่ หากติดเชื้ออยู่แล้วมันก็จะสกัดเอาโค้ดของไวรัสที่ฝังอยู่ในรูป

ออก มาและเรียกใช้งานโค้ดของไวรัสให้ทำงาน อย่างไรก็ดีไวรัส Perrun จะแพร่เชื้อใส่ไฟล์รูป JPEG ที่อยู่ในไดเรกทอรีที่กำลังใช้งานอยู่ในขณะนั้นเท่านั้น และจะแพร่

เชื้อ ใส่รูปเพียงแค่ 1 รูปต่อ 1 รอบของการทำงาน หลังจากนั้นส่วนประกอบที่ทำหน้าที่สกัดโค้ดไวรัสจะพยายามแสดงรู ป JPEG ต้นฉบับโดยใช้ไฟล์ DLL ของระบบ

เพื่อปกปิดไม่ให้ผู้ใช้เครื่องรู้สึกผิดปกติ

สำหรับ สายพันธ์ b ของไวรัส Perrun จะใช้ชื่อของไฟล์ส่วนประกอบเป็น Textrk.exe และทำการแพร่เชื้อไวรัสใส่ไฟล์ข้อความ (นามสกุล .txt) แทนไฟล์ชนิด JPEG

ซึ่งเจ้าไวรัส Perrun สายพันธ์ b จะทำการแก้ไขค่า registry key ในเครื่องของเราที่

HKEY_LOCAL_MACHINESoftwareClasses xtfileshellopencommand

ให้เป็น

textrk.exe %1

ซึ่ง จะมีผลทำให้ไฟล์ส่วนประกอบสำหรับสกัดโค้ดของไวรัส (โปรแกรม Extrk.exe) จะถูกเรียกให้ขึ้นมาทำงานบนหน่วยความจำเมื่อเราเรียกดูไฟล์ชนิด .txt ครับ

จะรู้ได้อย่างไรว่าติดไวรัส Perrun แล้ว

เรา สามารถตรวจสอบว่าเราตกเป็นเหยื่อของไวรัส Perrun แล้วหรือไม่โดยการตรวจสอบได้อย่างง่ายๆ ดังนี้ครับ ให้เราตรวจดูว่ามีการแก้ไข registry ตามที่กล่าวไป

แล้วหรือไม่ หรือหากพบว่าขนาดของไฟล์รูปภาพชนิด JPEG ในเครื่องของเรามีขนาดใหญ่ขึ้น 11,780 ไบต์ หรือหากพบว่าขนาดของไฟล์ข้อความ (ชนิด .txt) มีขนาด

ใหญ่ขึ้น 11,780 ไบต์ครับ

วิธีการกำจัดไวรัส W32.Perrun

ให้ ทำการอัพเดตโปรแกรมตรวจสอบไวรัสและไฟล์นิยามข้อมูลแล้วทำกา รตรวจสอบไวรัสในเครื่องของเราและลบไฟล์ทั้งหมดที่ตรวจพบว่าติดไ วรัส Perrun ทิ้งไป ที่

สำคัญอย่าลืมตั้งค่าการทำงานของโปรแกรมตรวจสอบไวรัสให้ มีการ ตรวจไวรัสในไฟล์ทุกประเภท เพราะเจ้า Perrun แพร่เชื้อใส่ไฟล์รูปภาพและไฟล์ข้อความไม่ได้แพร่

เชื้อใส่ไฟล์ .exe ไม่อย่างนั้นจะตรวจหามันไม่พบครับ การตั้งค่าให้มีการตรวจไวรัสในไฟล์ทุกประเภทอาจทำให้เสียเวลารอ นานขึ้น แต่ก็ปลอดภัยกว่ามากครับเพราะ

ไวรัสในปัจจุบันอาจแฝงมาในรูปของไ ฟล์ชนิดแปลกๆ ไม่ได้ใช้แค่ไฟล์ชนิดที่ประมวลผลได้เหมือนก่อนครับ


ขั้นตอนต่อไปเป็นการแก้ไข registry ที่เจ้าไวรัส Perrun สร้างเอาไว้โดยมีขั้นตอนดังต่อไปนี้

# กด Start -

# พิมพ์ REGEDIT และกด Enter โปรแกรม Registry Editor จะทำงานขึ้นมา

# ในด้านซ้ายมือของจอให้กดเลือกหา registry key ต่อไปนี้

สำหรับสายพันธ์หลัก

HKEY_LOCAL_MACHINESoftwareClassesjpegfileshellopencommand



สำหรับสายพันธ์ b

HKEY_LOCAL_MACHINESoftwareClasses xtfileshellopencommand



# ในด้านขวามือของจอให้กดดับเบิลคลิ้กที่ค่า

(Default)

กรอบข้อความ Edit String สำหรับแก้ไขค่า key จะปรากฏขึ้นมา



# ลบสิ่งที่ระบุในกรอบ Value data ทั้งหมดและพิมพ์ข้อความเหล่านี้เข้าไปแทน

สำหรับค่า key:



jpegfileshellopencommand

ให้พิมพ์

'C:PROGRA~1INTERN~1iexplore.exe' -nohome



ซึ่ง เป็นการตั้งให้เรียกใช้โปรแกรม Internet Explorer ในการดูภาพชนิด JPEG หากต้องการใช้โปรแกรมอื่นให้แก้ไขชื่อโปรแกรมตามต้องการครับ

สำหรับค่า key:



txtfileshellopencommand



เนื่อง จากโปรแกรมที่ใช้ (และค่า key ที่จะพิมพ์) จะต่างกันไปขึ้นกับระบบปฏิบัติการในเครื่องของเรา ดังนั้นให้ลองดูค่าจากเครื่องอื่นที่ใช้ระบบปฏิบัติการรุ่นเดีย วกัน
ครับ สำหรับค่าที่พบโดยทั่วไปคือ

+ ระบบปฏิบัติการวินโดวส์ 98 ให้พิมพ์

C:WindowsNotepad.exe %



+ ระบบปฏิบัติการวินโดวส์ 2000 ให้พิมพ์

%SystemRoot%system32NOTEPAD.EXE %1



# ปิดโปรแกรม registry editor



ควรจับตาเพราะเป็นไวรัสไฟล์ข้อมูล

แม้ ว่าในขณะนี้เจ้าไวรัส Perrun จะยังไม่สามารถแพร่เชื้อข้ามเครื่องคอมพิวเตอร์ได้ด้วยตัวเองแต ่มันก็สร้างความกังวลใจให้กับเหล่าผู้เชี่ยวชาญด้านไวรัสเพราะม ันเป็น

ไวรัส ตัวแรกที่สามารถแพร่เชื้อใส่ไฟล์ข้อมูลได้ ในขณะที่ไวรัสทั้งหลายในช่วงที่ผ่านมาสามารถแพร่เชื้อใส่ไฟล์ปร ะเภทโปรแกรมได้เท่านั้นทำให้ผู้ใช้เชื่อว่าไฟล์ประเภท

ข้อมูลเป็ นไฟล์ที่ปลอดภัยในการเรียกดูหรือเรียกใช้งานมาโดยตลอด


นาย Vincent Gullotto หัวหน้านักวิจัยไวรัสจาก McAfee Security กล่าวว่า 'สิ่งที่เราห่วงมากกว่าคือไวรัสที่จะพัฒนาตามหลังเจ้า Perrun ออกมา ซึ่งจะส่งผล

ให้ไม่มีไฟล์ชนิดไหนถือได้ว่าเป็นไฟล์ที่ปลอดภัยอีก ต่อไปแล้ว'


จากอดีต จนถึงปัจจุบันไวรัสสามารถแพร่เชื้อใส่ไฟล์ประเภทโปรแกรม (คือไฟล์ประเภทที่สามารถทำงานหรือประมวลผลได้ด้วยตัวเอง) ได้เท่านั้น ส่วนไฟล์ประเภทข้อมูล

อย่างเช่นไฟล์ภาพยนตร์, เพลง, ไฟล์ข้อความ และไฟล์รูปภาพยังคงปลอดภัยจากการติดเชื้อไวรัสมาโดยตลอด พวกไวรัสสามารถทำได้แค่ลบไฟล์หรือทำการแก้ไขข้อมูล

ในไฟล์ประเภท ข้อมูลเท่านั้น Perrun จึงถือได้ว่าเป็นไวรัสตัวแรกที่แพร่เชื้อใส่ไฟล์ประเภทข้อมูลได ้สำเร็จ

ยังต้องได้รับการพัฒนาต่อไปอีก

อย่าง ไรก็ตามไวรัส Perrun ยังคงต้องได้รับการปรับแต่งอีกพอสมควรถึงจะถือว่าเป็นไวรัสอันต ราย เจ้าหนอนจะบุกมาถึงตัวเราทางจดหมายอิเล็กทรอนิกส์หรือมาทาง

แผ่น ฟลอปปี้ดิสก์ในรูปของไฟล์ชนิดที่ประมวลผลได้ ที่ผ่านมาผู้เชี่ยวชาญด้านความปลอดภัยมักจะเตือนผู้ใช้ไม่ให้เร ียกใช้งานโปรแกรมที่ส่งมาในรูปของไฟล์แนบท้าย

จดหมายอิเล็กทรอนิ กส์โดยไม่ตรวจสอบเสียก่อน ซึ่งหากเราปฏิบัติตามกฏการรักษาความปลอดภัยอย่างเคร่งครัดเราก็ จะไม่ตกเป็นเหยื่อของเจ้า Perrun ครับ


เมื่อเราเรียกใช้ไฟล์ของ โปรแกรมไวรัส Perrun มันจะแอบติดตั้งส่วนประกอบที่ทำหน้าที่สกัดไฟล์ไวรัสออกจากรูปล งบนฮาร์ดดิสก์ของเหยื่อ เมื่อผู้ใช้เรียกดูรูปภาพชนิด

.JPG (ซึ่งในปัจจุบันเป็นรูปภาพชนิดที่พบได้ทั่วไปในอินเทอร์เน็ต) มันจะแพร่เชื้อใส่รูปภาพนั้นก่อนที่จะแสดงรูปภาพดังกล่าวขึ้นมา บนจอ เนื่องจากภาพยังคงแสดงขึ้น

มาบนจอตามปกติผู้ใช้ จึงไม่มีทางรู้ได้เลยว่ามีไวรัสทำงานอยู่บนเครื่องของเขา

แม่แบบของไวรัสติดไฟล์ข้อมูล

รูป แบบการทำงานของเจ้า Perrun ในปัจจุบันจะทำให้ภาพ JPG ที่ติดเชื้อที่ส่งไปให้เพื่อนหรือเผยแพร่อยู่บนเว็บไซต์ยังคงไม ่อาจสร้างอันตรายใดๆ ได้หากเครื่องที่

รับรูปไปไม่มีโปรแกรมส่วน ประกอบเพื่อสกัดไฟล์ท ำงานอยู่ แต่นาย Gullotto กล่าวว่าไม่มีเหตุผลใดที่จะห้ามไม่ให้ผู้พัฒนาไวรัสนี้รวมเอา code ทั้งหมดของไวรัส

เข้าไปในภาพ JPG ซึ่งเมื่อรวมเข้าไปแล้วจะทำให้ไฟล์รูปภาพเป็นไวรัสที่สมบูรณ์ใน ตัวเองไม่ต้องอาศัยส่วนประกอบเพื่อสกัดไฟล์อีก

เขา กล่าวเสริมอีกว่าการพัฒนาขั้นถัดไปนี้จะทำให้ผู้ใช้ต้องไตร่ ตรองให้ดีก่อนที่จะรับส่งรูปภาพหรือไฟล์ข้อมูลชนิดอื่นผ่านทางอ ินเทอร์เน็ต 'ผมเชื่อว่ามีความเป็นไปได้ที่

จะเกิดรูปแบบใหม่ๆ ของไวรัส และเมื่อพัฒนาไปจนถึงขั้นนั้นแล้วจะทำให้เราต้องใคร่ครวญการเผย แพร่รูป JPG ให้ดี'

นัก วิจัยไวรัสของ McAfee ได้รับไวรัส Perrun จากผู้สร้างมันขึ้นมา อย่างไรก็ดีนาย Gullotto ปฏิเสธที่จะให้ข้อมูลเกี่ยวกับผู้พัฒนาไวรัสรายนี้ แม้ว่าเจ้า Perrun จะ

เป็นเพียงแค่ไวรัสทดสอบแนวคิดใหม่และไม่ได้ สร้างความเสียหายใ ดๆ แต่นาย Gullotto ก็กลัวว่าพวกนักพัฒนาไวรัสอาจใช้มันเป็นแม่แบบในการสร้างไวรัสต ิดไฟล์

ข้อมูลที่มีการทำลายล้างรุนแรงขึ้นมา

cradit : shwenting

ผม รับรอมครับ เวอร์ชั่น b มันออกมาแล้วโดนกับตัวเลย ฟอร์แมทใหม่ 100 ครั้งก็แปปเดียวก็เมือนเดิม เพราะมันไปติดกับไฟล์ภาพสำคัญมากๆ ขนาดสำรองเอาไว้ยังมี

ไฟล์ไวรัสติด เอือมแล้ว