มัลแวร์ Chernobyl มีความสามารถทำลายล้างกว่า

มัลแวร์ Chernobyl มีความสามารถทำลายล้างที่มัลแวร์ใหม่สู้ไม่ได้ ด้วยการแฟลช BIOS

มัลแวร์เก่า ๆ หลายตัวนั้นความสามารถในการทำลายล้างมักจะด้อยกว่ามัลแวร์ใหม่ ๆ ทั้งในด้านการทำลายระบบล้วน ๆ และการแทรกซึมมักจะสู้มัลแวร์ใหม่ ๆ ไม่ได้ ทว่าบางตัว กลับสามารถทำในสิ่งที่มัลแวร์ใหม่ ๆ ไม่สามารถทำได้

จากรายงานโดยเว็บไซต์ Tom’s Hardware ที่กล่าวถึงการตรวจสอบมัลแวร์ขนาดเล็กแค่ 1 KB ซึ่งถูกพัฒนาในช่วงปี ค.ศ. 1998 (พ.ศ. 2542) หรือประมาณ 27 ปีที่แล้ว โดยนักศึกษาจากมหาวิทยาลัย Tatung University นาย Chen Ing-Hau ซึ่งตัวมัลแวร์ก็ถูกตั้งชื่อว่า CIH ตามชื่อผู้สร้างนี้เอง และเป็นที่บังเอิญเหลือเกินที่มัลแวร์ตัวนี้ถูกปล่อยครั้งแรกในช่วงวันที่ 26 เมษายน ซึ่งตรงกับวันที่โรงไฟฟ้านิวเคลียร์ เชอโนบิล เกิดอุบัติเหตุ ทำให้มัลแวร์ตัวนี้ได้รับชื่อเล่นว่า Chernobyl ความเสียหายที่มัลแวร์ตัวดังกล่าวก่อนั้นเรียกได้ว่าสูง และรุนแรงมาก ๆ จากการที่มีคอมพิวเตอร์กว่า 60 ล้านเครื่องติดมัลแวร์ตัวนี้ นำมาสู่ความเสียหายมูลค่าสูงถึง 40 ล้านดอลลาร์สหรัฐ (1,290,580,000 บาท) ทว่าทางอัยการแห่งประเทศไต้หวันก็ไม่สามารถเอาผิดนาย Chen Ing-Hau ได้ เนื่องจากด้วยกฎหมายอาญาของประเทศไต้หวันในขณะนั้น ผู้เสียหายจำเป็นต้องเป็นผู้ฟ้องโดยตรง ทว่ากลับไม่มีผู้เสียหายรายใดมาฟ้องเลย ในขณะที่นาย Chen Ing-Hau ก็ได้แก้ตัวในส่วนจุดประสงค์ของก็สร้างมัลแวร์ดังกล่าวว่า เป็นการท้าทายบริษัทผู้พัฒนาโปรแกรมแอนตี้ไวรัส (Anti-Virus) ที่โม้โอ้อวดถึงประสิทธิภาพของผลิตภัณฑ์ของตนเองจนเกินจริง ความเสียหายของมัลแวร์ในครั้งนั้นทำให้ทางไต้หวันต้องแก้กฎหมายด้านการกระทำผิดทางคอมพิวเตอร์ในเวลาต่อมา

โดยมัลแวร์ตัวนี้ได้เริ่มแพร่กระจายครั้งแรกผ่านทางซอฟต์แวร์เถื่อนในช่วงฤดูร้อนของปี ค.ศ. 1998 (พ.ศ. 2542) แต่เริ่มระบาดหนักไปทั่วโลกหลังการจัดจำของคอมพิวเตอร์รุ่น Aptiva PCs ของทาง IBM ที่มีมัลแวร์ดังกล่าวถูกติดตั้งอยู่ภายในตัวเครื่อง (Pre-Installed) ในเดือนมีนาคม ค.ศ. 1999 (พ.ศ. 2543) โดย 1 เดือนก่อนหน้านั้น ทาง Yamaha ก็ได้มีการแจกจ่ายเฟิร์มแวร์ของไดร์ฟ CD-R รุ่น CD-R400 ซึ่งบนตัวเฟิร์มแวร์มีมัลแวร์แทรกซึมอยู่ และ ในเดือนกรกฎาคมปีเดียวกัน ในงาน DEF CON 7 ซึ่งเป็นการรวบรวมแฮกเกอร์ในระดับโลก ก็ได้มีการแจกจ่ายเครื่องมือ Back Orifice 2000 ซึ่งก็มีมัลแวร์แทรกซึมอยู่เช่นเดียวกัน

สำหรับมัลแวร์ Chernobyl นั้น ถูกจัดหมวดเป็นมัลแวร์แบบ “เติมตัวเองในช่องว่าง” หรือ Space-Filler ที่สามารถสอดแทรกโค้ดตัวเองไปในช่องว่างของโค้ดบนไฟล์สำหรับการรัน (Executable) แทนที่จะแทรกตัวเองไว้บนหัว (Header) หรือ ท้าย (End) ของไฟล์ ซึ่งตัวมัลแวร์นั้นจะทำการสแกนไฟล์ในแบบ Windows Portable Executable เพื่อหาว่ามีช่องว่างในตัวโค้ดภายในจุดใดบ้าง แล้วจึงทำการแทรกตัวเองเข้าไป การแทรกตัวของโค้ดไฟล์ที่มีขนาดเพียง 1KB นี้ทำให้ขนาดไฟล์ที่ถูกสอดไส้นั้นไม่เปลี่ยนแปลงไปมาก นำไปสู่การที่โปรแกรมแอนตี้ไวรัสในยุคสมัยนั้นที่ใช้การตรวจแบบเช็คขนาดไฟล์ ไม่สามารถทำงานและตรวจจับได้

หลังจากที่ตัวมัลแวร์รันบนเครื่องของเหยื่อเป็นที่เรียบร้อยแล้ว ตัวมัลแวร์จะเข้าแทรกแซงในส่วนของการทำงานของชิปประมวลผล (Processor) ในช่องทางตั้งแต่ Ring 3 ถึง Ring 0 ทำให้ตัวมัลแวร์สามารถควบคุมไฟล์ระบบ (System File) ในระดับแก่น (Kernel-Level) แล้วค่อย ๆ กลืนกินระบบทุกครั้งที่เหยื่อเปิดใช้งานเครื่อง ซึ่งวิธีการนี้สามารถทำงานได้บน Windows 95, 98, และ ME เท่านั้น ขณะที่ Windows NT ซึ่งเป็น Windows ต้นแบบของรุ่นที่ถูกใช้งานในปัจจุบัน สามารถป้องกันการโจมตีในรูปแบบนี้ได้

เมื่อตัวมัลแวร์ Chernobyl สามารถรันบนเครื่องของเหยื่อได้แล้ว ตัวมัลแวร์ก็จะทำการทำการเขียนทับ (Overwrite) ในส่วน Megabyte แรกของตัวไดร์ฟที่ใช้ในการบูทเครื่อง (Boot Drive) ด้วยเลข 0 ทั้งหมด ทำให้เกิดการทำลายพาร์ติชัน (Partition) ของตัวไดร์ฟจนไม่สามารถเข้าถึงตัวไดร์ฟได้ หลังจากนั้นก็จะพยายามแฟลชมัลแวร์ลงไปยังชิป BIOS (Basic Input Output System) ซึ่งถ้าทำสำเร็จ ความเสียหายก็จะรุนแรงจนไม่สามารถใช้งานเครื่องได้ยกเว้นเปลี่ยนตัวชิป BIOS ใหม่ ซึ่งการโจมตีอย่างหลังนั้นมักจะสำเร็จบนเครื่องที่ใช้ชิปเซ็ตรุ่น Intel 430TX ที่ไม่มีการป้องกันการเขียนทับ BIOS โดยไม่ได้รับอนุญาต เรียกว่าร้ายกาจจนเหลือจินตนาการเลยทีเดียวสำหรับมัลแวร์เก่าแก่ตัวนี้

#ติดเทรนด์ #Lemon8ฮาวทู #lemon8ไดอารี่ #chernobyl #freedomhack