[HOW TO] เช็กก่อนใช้ไฟล์น่าสงสัยติดไวรัส ฟรี! ด้วยเว็บไซต์ Virustotal

เชื่อว่ามีหลายคนที่เคยประสบพบเจอกับการถูกแฮ็ก Facebook หรืออีเมล โดยมีต้นตอมาจากการโหลดโปรแกรมเถื่อน หรือมีไฟล์ติดไวรัสแถมมาในเครื่อง จะดีกว่าไหมถ้าเราสามารถเช็กไฟล์นั้นได้ และรู้ด้วยว่าไฟล์ติดไวรัสพวกนั้นทำอันตรายอะไรกับคอมเราได้บ้าง

วันนี้แอดมีเว็บไซต์เช็กไฟล์ไวรัสมาแนะนำ นั่นคือ www.virustotal.com (คลิก) เดี๋ยวแอดจะลองทดสอบให้ดูครับ

จริง ๆ Virustotal สามารถใช้เช็กได้ทั้งไฟล์, URL หรือค้นหา Hash/IP ที่สงสัยว่าอาจเป็นแหล่งที่แฮ็กเกอร์ใช้โจมตี แต่ในการทดสอบนี้ผมจะเน้นที่การค้นหาไวรัสในไฟล์เป็นหลักครับ

วิธีการใช้ก็ง่ายมากครับ เพียงแค่อัปโหลดไฟล์ที่สงสัยว่าน่าจะมีไวรัสลงไป (ขนาดไฟล์ไม่เกิน 650MB) ในตัวอย่างผมลองใช้ไฟล์ไวรัสที่มันให้โหลดมากับอีเมล เป็นไฟล์ ZIP เดี๋ยวเราไปดูกันว่าไฟล์พวกนี้น่ากลัวขนาดไหน

Detection

ตัวเว็บไซต์จะนำไฟล์ของเราไปตรวจสอบผ่านฐานข้อมูล Antivirus จากที่ต่าง ๆ แล้วนำมาเปรียบเทียบว่ามันเข้ากับไวรัสแบบใดบ้าง ในหน้า Detection นี้คือแดงเยอะมาก 12 รายการ แสดงว่ามีฐานข้อมูลไวรัสที่ระบุว่าไฟล์นี้มีไวรัสแฝงอยู่ถึง 12 ฐานข้อมูลเลยครับ

Details

ในส่วนของ Details จะมีการแจงรายละเอียดเชิงลึกของตัวไฟล์ ทั้งเลข Hash, จำนวนไฟล์ และชนิดไฟล์ อย่างในกรณีนี้ผมใช้ไฟล์ ZIP ตัวเว็บไซต์จะมีการเช็กให้ว่าข้างในไฟล์ ZIP มีไฟล์อะไรบ้าง (แต่ต้องเป็น ZIP ที่ไม่ติดรหัสไฟล์นะครับ)

Relations

ในส่วน Relations จะบอกว่าไฟล์ที่ติดไวรัสมีปฏิสัมพันธ์กับภายนอกอย่างไรบ้าง ในส่วนที่ผมนำมาโชว์จะเห็นว่ามันมีการติดต่อไปยังเลข IP 198.135.48.191 ซึ่งติดเป็นตัวแดงขึ้นมา ก็มีความเป็นไปได้ว่าตัวไวรัสน่าจะมีการติดต่อไปยังเลข IP ซึ่งตรงนี้ผมขอพักไว้ก่อนเดี๋ยวผมย้อนกลับมาเจาะที่ IP นี้อีกที

(ในภาพที่แคปไว้เมื่อเดือนที่แล้วยังติดแดงแค่ 1 แต่ตอนนี้ติดแดง 5 แล้วครับ)

Behavior

ส่วนนี้คือดีมาก ๆ ครับ เพราะเว็บไซต์จะนำไฟล์ของเราไปรันบน Sandbox เพื่อหาดูว่ามันมีพฤติกรรมการโจมตีแบบไหน ถ้าไฟล์นั้นยังไม่เคยถูกทดสอบมาก่อนก็อาจจะต้องใช้เวลาในการรันส่วนนี้นานหน่อยครับ

ของแอดที่รันผ่านเรียบร้อย พบว่าไฟล์ติดไวรัสมีพฤติกรรมแบบมัลแวร์, ตัวขโมยข้อมูล, โทรจัน และผู้บุกรุก

แล้วพอมาเช็กในส่วนของ MITRE ATT&CK เพื่อดูว่ามันใช้เทคนิคอะไรในการโจมตีเราบ้าง ก็พบว่ามีส่วนหนึ่งที่สะดุดตาโคตร ๆ นั่นคือ Credential Access คือไวรัสนี้สามารถขโมยข้อมูลทั้งประวัติเบราว์เซอร์, รหัสผ่าน หรือคุ้กกี้ไปได้เลย นี่แหละครับที่โดนแฮ็กเมลกับเฟซบุ๊ก เพราะมันขโมยข้อมูลเหล่านี้แล้วส่งไปให้แฮ็กเกอร์ อาจจะผ่านทาง IP ตัวร้ายก่อนหน้านี้ก็ได้

IP 198.135.48.191

กลับมาที่ IP ตัวร้ายของเรา ตอนนี้ผมเข้ามาสู่ IP 198.135.48.191 ในส่วน Detection ของ IP นี้ จะเห็นว่า Criminal IP โชว์เป็นสีแดง แม้จะเป็นแค่ที่เดียวแต่ก็ถือว่ามีความเสี่ยง

ทีนี้วาร์ปมาดู Details ของ IP จะเห็นว่า มันเป็น IP จากสหรัฐฯ มาจากรัฐเท็กซัส เมือง Carrollton ลงทะเบียน IP มาตั้งแต่ปี 2018 แหม่พี่! มาไกลเชียวนะ

ต่อมาดูที่ Relations จะเห็นว่า IP มีความเกี่ยวข้องกับไฟล์ติดไวรัสมากมาย แต่ที่เด็ดสุดคือมันเกี่ยวข้องกับไฟล์ “รายละเอียดการละเมิดลิขสิทธิ์.zip” นี่แหละไอ้ตัวที่เราโดนกันบ่อย ๆ !!

เพราะแฮ็กเกอร์ชอบส่งอีเมลมาบอกว่าเราไปละเมิดลิขสิทธิ์องค์กรดัง ๆ อย่างแอดเองโดนว่าละเมิด Workpoint แล้วให้เราไปดาวน์โหลดไฟล์ รายละเอียดการละเมิดลิขสิทธิ์.zip เพื่อเช็กดูว่าเราไปละเมิดอะไรเขาบ้าง แต่พอคลิกเปิดไฟล์เท่านั้นล่ะ ไวรัสเริ่มทำงานเลยจ้า

Community

ส่วนของคอมมูก็มีคนออกมาเตือนด้วยครับว่า IP 198.135.48.191 เป็นแหล่งที่มาของไวรัสขโมยข้อมูล เพราะฉะนั้นขอเตือนทุกคนให้ระมัดระวังในการดาวน์โหลดไฟล์จากแหล่งไม่ทราบที่มา รวมถึงไฟล์เกมเถื่อน ไฟล์แคร็กต่าง ๆ ที่ชอบมีของแถมร้ายกาจติดมาให้ด้วยครับ