ไฟล์ไวรัส ( File Virus )
ในคอมพิวเตอร์ virus (ไวรัส) เป็นโปรแกรมหรือคำสั่งโปรแกรมที่จำลองโดยการทำสำเนาหรือเริ่มต้นคัดลอกไปยังอีกโปรแกรม boot sector ของเครื่องคอมพิวเตอร์หรือเอกสาร ไวรัสสามารถได้รับการส่งผ่านเป็นไฟล์แนบในอีเมล์หรือไฟล์ดาวน์โหลด หรือปรากฎบนดิสเก็ตหรือซีดี แหล่งตัวกลางนี้ของอีเมล์ ไฟล์ดาวน์โหลดหรือดิสเก็ตที่ได้รับมักจะไม่ได้ระวังว่าบรรจุไวรัสไว้ ไวรัสบางชนิดให้ผลทันทีที่มีการประมวลผล ไวรัสจะรอกว่าสภาพแวดล้อมที่คำสั่งนี้ได้รับการประมวลผลโดยเครื่องพิวเตอร์นั้น ไวรัสบางชนิดเป็นเนื้องอกไม่อันตรายหรือชอบล้อเล่นและมีผลเพียง (บอกว่า “Happy Birthday”) แต่บางตัวอันตรายมาก เช่น ลบข้อมูล หรือเป็นสาเหตุให้ฮาร์ดดิสก์ต้องฟอร์แม็ตใหม่ ไวรัสที่จำลองตัวเองโดยส่งตัวเองใหม่เป็นไฟล์แนบอีเมล์ หรือเป็นส่วนหนึ่งของข่าวสารเครือข่ายที่เรียกว่า worm
โดยทั่วไป ไวรัสมีสามชั้นหลัก
File infectors. ไวรัสติดต่อบางชนิดแนบตัวเองกับไฟล์โปรแกรม ปกติเป็นไฟล์ .COM หรือ .EXE บางชนิดสามารถติดต่อกับโปรแกรมซึ่งต้องมีการประมวลผล รวมถึงไฟล์ .SYS, .OVL, .PRG และ .MNU เมื่อโปรแกรมได้รับการโหลด ไวรัสได้รับการโหลดไปด้วย ไวรัสติดต่ออื่นมาถึงทั้งบรรจุในโปรแกรมและสคริปต์ที่ส่งเป็นไฟล์แนบกับอีเมล์
System or boot-record infectors. ไวรัสติดต่อที่มีคำสั่งประมวลผลเหล่านี้พบในพื้นที่ของระบบแน่นอนบนดิสก์ ไวรัสเหล่านี้ติดกับ boot sector ของ DOS บนดิสก์หรือ Master Boot Record บนฮาร์ดดิสก์ สถานการณ์จำลองได้รับดิสก์เก็ตจากแหล่งบริสุทธิ์ที่บรรจุไวรัส boot disk เมื่อระบบปฏิบัติการกำลังเรียกใช้ ไฟล์บนดิสก์สามารถได้รับการอ่านโดยไม่เปลี่ยนไปที่ไวรัส boot disk อย่างไรก็ตาม ถ้าทิ้งดิส์เก็ตไว้ในไดร์ฟ จากนั้นปิดเครื่องคอมพิวเตอร์หรือโหลดระบบปฏิบัติการใหม่ คอมพิวเตอร์จะมองไปที่ไดร์ฟ A ก่อน ค้นหาดิสก์เก็ตที่มีไวรัส boot disk แล้วโหลด และทำให้ความเป็นไปได้อย่างชั่วคราวเพื่อใช้ฮาร์ดดิสก์ (ใช้เวลาหลายวันในการฟื้นฟู) สิ่งนี้จึงทำให้ต้องมั่นใจว่าต้องมีฟล๊อปปีไดร์ฟ
Macro viruses. นี่เป็นไวรัสทั่วไปและทำให้เสียหายน้อย Macro viruses ของโปแกรมประยุกต์ Microsoft Word และแทรกคำหรือวลีที่ไม่ต้องการ
การป้องกันดีที่สุดต่อไวรัสคือรู้แหล่งของโปรแกรมหรือไฟล์ที่โหลดเข้าสู่เครื่องคอมพิวเตอร์หรือเปิดจากโปรแกรมอีเมล์ เพราะสิ่งนี้ลำบาก จึงต้องซื้อซอฟต์แวร์ต่อต้านไวรัสที่สามารถสแกนไฟล์แนบอีเมล์และตรวจสอบไฟล์ทั้งหมดตามระยะเวลาและลบไวรัสที่พบ จากครั้งต่อครั้ง อาจจะรับข่าวสารการเตือนอีเมล์ของไวรัสใหม่ ถ้าไม่มีการเตือนจากต้นแหล่งที่รู้จัก โอกาสที่ดีที่การเตือนคือ virus hoax ไวรัสคอมพิวเตอร์ ดึงจากประวัติไวรัส คำนี้มาจากภาษาลาตินว่า ของเหลวบอบบางหรือยาพิษ
ไฟล์ไวรัส (file virus) ใช้เรียกไวรัสที่ติดไฟล์โปรแกรม เช่นโปรแกรมที่ดาวน์โหลดจากอินเทอร์เน็ต นามสกุล.exe โปรแกรมประเภทแชร์แวร์เป็นต้น
การแทรกตัวของไวรัสสามารถแบ่งได้ 8 วิธีดังนี้
1. Overwriting Viruses (OV)
จากรูปไวรัสจะเขียนตัวเองทับลงไปในไฟล์เป้าหมาย เมื่อมีการเรืยกใช้ไฟล์เป้าหมายจะเรียกโปรแกรมและไวรัสทำงานทันที เครื่องก็จะติดไวรัสไป
ลักษณะนี้จะยากต่อการตรวจจับของโปรแกรม Antivirus ที่อ่านขนาดไฟล์ เพราะไฟล์ที่ติดไวรัสจะมีขนาดเท่าเดิม แต่ถือว่ามีการเปลี่ยนแปลง
2. Random Overwritten Virus (ROV)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi_mX2X0BTq5KSmgi-1jLOv6YeGmJuLx6lWJ5WK5MZbzO5nxMA7v-xUbEAJuQXd36QuJvcfVauu4xqUMjxaFNPi9C4Zobrp1VgzXEwvXc_HgpUOgL5kNWHxby8rtFa8oXoCpnOYhV0v-P-M/s200/Picture2.gif)
การทำงานจะคล้ายๆข้อแรก แต่เขียนแบบสุ่ม ไม่ได้เริ่มที่ Byte แรกเสมอไป ไฟล์ยังมีขนาดเท่าเดิม แต่ถือว่าถูกเปลี่ยนแปลง
การรันไฟล์ที่ติดไวรัส โปรแกรมจะทำงานก่อนไวรัส ทำให้เหมือนกับว่าไม่มีอะไรเกิดขึ้น และถ้า Antivirus ที่ทำงานช้าหรือไม่มีความคล่องตัว โอกาศที่จะพลาดสูงมาก
3. Appending Virus (AV)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiEzi5nv5pwawF3vwvfMBwRIr1FIhHkFbwPBlnYbB8OKzIP5VHrHiDRNNS8ByF3XNy5Cm329lhPb4P7mAxZ2DKP-KPPUJQnewHfNCAD_xOPDrwd4q_su4VVCq_fODbjGTOr8dG4GNlGXEny/s200/Picture3.gif)
ไวรัสจะแทรกตัวเองลงไปที่ Byte สุดท้ายของไฟล์เป้าหมาย แต่มีการแก้ไขที่ Byte แรกของเป้าหมาย ให้มารันตัวเองก่อน ไฟล์ที่โดนไวรัสลักษณะนี้มีโอกาสเสียค่อนข้างสูง ไฟล์เป้าหมายมักจะเป็นนามสกุล .com ที่เขียนขึ้นจากดอส
แต่ไวรัสลักษณะนี้จะถูกแก้ไขได้ง่ายจากโปรแกรมครับ เพราะไฟล์มีขนาดใหญ่ขึ้นจากเดิม ถ้าโปรแกรมมีความคล่องตัวมากพอ ก็จะแก้ไขเฉพาะส่วนของไวรัสได้
4. Prepending Virus (PV)
คล้ายๆข้อ 1 และ 3 แต่ไฟล์ที่ติดไวรัสจะมีขนาดเปลี่ยนแปลงไปครับ
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiAJg0cBYBlaiOMi2g2At29-poI8U01_kdIfpW9J64zPgqGoZYOrI2VklPlKBVUtXiEVieqNpmmtFLBw-8LeZSE8y48OC_vsNP_H51lHt6YeDLHJ8lWmQLFizisbjZEWpi4sPEcns4duOoz/s200/Picture4.gif)
5. Classic Parasitic Virus (CPV)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgTmzDhcGSORnhAoI8U84ycGzwo0mCWQf-DoJWUucON3xoHjEPHBlwQsfJl_gdCJwUbPkhVeyE_PNl3p4aAF2CQhKyGkWQpps2VrPkIX88fCd0KAsNrD4cxueSDK604KIWBJTk0M2G-izKW/s200/Picture5.gif)
จัดว่าเป็น Variants ของไวรัสประเภทที่ 4 ครับ ไวรัสพวกนี้จะถูกตรวจจับได้จากการอ่านขนาดไฟล์ของ Antivirus ชาติเกา แต่ประเภทที่ไม่เปลี่ยนแปลงขนาดไฟล์จะมีโอกาสพลาดได้
6. Cavity Virus (CV)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjYeA6pcoZmWcNAn4ZnlvPjRF6cHG1qtwFkIwWEnep0UuWlcLyhTds5mG7CRKMg8N2IZlcV7vRlthlI5UkEW1bveydHcuESxnRUbMIYhg7FropSDxSTfOKy3Zkj2YyPovLTwT_i7T9w7nhW/s200/Picture6.gif)
การทำงานของไวรัสลักษณะนี้จะคล้ายๆกับ Rootkit แต่ต่างกันตรงที่ Rootkit ไม่เปลี่ยนแปลงไฟล์ แต่แทรกตัวลงไปในโปรเซสเพื่อหลบการตรวจจับของโปรแกรม
7. Compressing Virus ไวรัสจะบีบอัดขนาดไฟล์เป้าหมายพร้อมทั้งแทรกตัวลงไป นอกจากบีบอัดแล้วบางทีอาจจะมีการเข้ารหัสไว้ เพื่อไม่ให้ Antivirus แก้ไขไฟล์ แต่ยังเรียกใช้ไฟล์ได้ตามปกติ
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiQZRRCTJdiTQO5OCFZ8ZCF0C6Ulb9pVKKcudEaFRqKWsP0CbNbu6tg4tf_mfIKxr894ZDtzkxiqxnoRRbIkm6D_2Y3NY0ZrW1_Vajw176gFon9hsQ-2_u6dQgkUNeSoqynRzorH6RNa30b/s200/Picture7.gif)
การบีบอัดหรือแก้ไขไฟล์อาจจะใช้ Runtime packers แบบอัลกอริทึ่ม PKLITE, LZEXE, UPX, ASPACK ในการแก้ไข
ลักษณะนี้เมื่อโดนจับได้อาจจะคลีนไม่ได้ ต้องลงไฟล์ทิ้ง ซึ่งเวลาตรวจเจออาจจะมีคำว่า PCK หรือ Packed ไว้ เพื่อบอกว่าไฟล์นี้โดนแก้ไขให้ขนาดเล็กลง
8.Amoeba Infection Technique (AIT)
ไวรัสจะแทรกลงไปที่ Byte แรกและ Byte สุดท้าย แปลว่าถ้ารันไฟล์เป้าหมาย อาจจะยังไม่ติดไวรัสตอนเรียกใช้ แต่จะติดตอนที่รันได้สำเร็จ