มัลแวร์ Chernobyl ตัวจิ๋ว 1KB ที่เคยทำคอมพังถึงระดับ BIOS

มัลแวร์บางตัวไม่ได้อันตรายเพราะซับซ้อนที่สุด แต่อันตรายเพราะโจมตีถูกจุด และ Chernobyl หรือ CIH คือหนึ่งในตัวอย่างที่ยังถูกพูดถึงจนถึงวันนี้ เพราะมันไม่ได้หยุดแค่ทำไฟล์เสีย แต่ไปไกลถึงขั้นเขียนทับข้อมูลบูตไดรฟ์และพยายามแฟลช BIOS ของเครื่อง

ชื่อ CIH มาจาก Chen Ing-Hau นักศึกษาจาก Tatung University ผู้พัฒนามัลแวร์ตัวนี้ในช่วงปี 1998 ตัวมัลแวร์มีขนาดเล็กมาก เพียงราว 1KB แต่ความเสียหายที่เกิดขึ้นกลับใหญ่กว่าขนาดไฟล์หลายเท่า

ชื่อเล่น Chernobyl เกิดจากจังหวะที่มัลแวร์ถูกปล่อยช่วงวันที่ 26 เมษายน ซึ่งตรงกับวันครบรอบอุบัติเหตุโรงไฟฟ้านิวเคลียร์เชอร์โนบิลพอดี ชื่อนี้จึงติดกับมัลแวร์ตัวนี้ และยิ่งทำให้ภาพจำของมันน่ากลัวขึ้นไปอีก

ความเสียหายที่ถูกกล่าวถึงนั้นหนักมาก มีคอมพิวเตอร์ติดมัลแวร์กว่า 60 ล้านเครื่อง และสร้างมูลค่าความเสียหายสูงถึง 40 ล้านดอลลาร์สหรัฐ หรือประมาณ 1,290,580,000 บาท ตัวเลขนี้ทำให้ CIH ไม่ใช่แค่ไวรัสเก่าในประวัติศาสตร์ แต่เป็นบทเรียนเรื่องความเปราะบางของระบบคอมพิวเตอร์ยุค Windows 95, 98 และ ME

ทำไมมัลแวร์ตัวเล็กถึงตรวจจับยาก

จุดแข็งของ Chernobyl คือเทคนิคแบบ Space-Filler หรือการเติมตัวเองลงในช่องว่างของไฟล์รันโปรแกรม แทนที่จะวางโค้ดไว้ตรงหัวหรือท้ายไฟล์เหมือนมัลแวร์หลายตัวในยุคนั้น

วิธีนี้ทำให้ไฟล์ที่ถูกแทรกโค้ดไม่ได้มีขนาดเปลี่ยนแปลงชัดเจน โปรแกรมแอนตี้ไวรัสยุคเก่าที่พึ่งการตรวจขนาดไฟล์จึงจับได้ยากกว่าเดิมมาก ถ้าผู้ใช้ดูจากขนาดไฟล์เพียงอย่างเดียว ก็แทบไม่เห็นความผิดปกติ

มัลแวร์จะสแกนไฟล์แบบ Windows Portable Executable แล้วหาช่องว่างในตัวโค้ด จากนั้นจึงสอดแทรกตัวเองเข้าไป วิธีนี้ฟังดูเรียบง่าย แต่ในเวลานั้นถือเป็นการออกแบบที่ทำให้การป้องกันยุ่งยากขึ้นมาก

มันเริ่มแพร่กระจายผ่านซอฟต์แวร์เถื่อนในช่วงฤดูร้อนปี 1998 ก่อนจะระบาดหนักขึ้นหลังมีกรณีคอมพิวเตอร์ IBM Aptiva PCs ที่มีมัลแวร์ติดมากับเครื่องในเดือนมีนาคม 1999 รวมถึงกรณีเฟิร์มแวร์ไดรฟ์ CD-R ของ Yamaha และเครื่องมือ Back Orifice 2000 ที่ถูกแจกในงาน DEF CON 7 ซึ่งมีมัลแวร์แทรกอยู่เช่นกัน

ความน่ากลัวอยู่ที่ระดับการทำลาย

หลังรันบนเครื่องเหยื่อได้แล้ว CIH จะเข้าแทรกแซงการทำงานจาก Ring 3 ไปจนถึง Ring 0 ทำให้เข้าถึงระดับ Kernel-Level และควบคุมไฟล์ระบบได้ลึกกว่ามัลแวร์ทั่วไปในยุคนั้น

จุดที่ทำให้มันถูกจดจำมากที่สุดคือการเขียนทับ Megabyte แรกของบูตไดรฟ์ด้วยเลข 0 ทั้งหมด ผลคือพาร์ติชันเสียหายและเครื่องไม่สามารถเข้าถึงไดรฟ์ได้ตามปกติ สำหรับผู้ใช้ทั่วไป นี่คืออาการที่เหมือนคอมพิวเตอร์พังทันทีโดยแทบไม่มีสัญญาณเตือน

หนักกว่านั้นคือความพยายามแฟลชมัลแวร์ลงไปยังชิป BIOS หากทำสำเร็จ เครื่องอาจใช้งานไม่ได้จนต้องเปลี่ยนชิป BIOS ใหม่ โดยเฉพาะเครื่องที่ใช้ชิปเซ็ตรุ่น Intel 430TX ซึ่งไม่มีการป้องกันการเขียนทับ BIOS โดยไม่ได้รับอนุญาต

สิ่งที่ทำให้มัลแวร์เก่าตัวนี้ยังถูกพูดถึง คือมันโจมตีในจุดที่ผู้ใช้ทั่วไปมักไม่คิดถึง ไม่ใช่แค่ไฟล์หาย ไม่ใช่แค่ระบบรวน แต่เป็นระดับที่แตะการเริ่มต้นทำงานของเครื่องโดยตรง

บทเรียนจาก Chernobyl จึงไม่ได้มีไว้เพื่อความกลัว แต่เตือนว่าความปลอดภัยของคอมพิวเตอร์ไม่ควรวัดจากความใหม่หรือความซับซ้อนของมัลแวร์เท่านั้น บางครั้งโค้ดเล็ก ๆ ที่เจาะถูกตำแหน่ง ก็สร้างความเสียหายได้มากกว่าที่คิด

สำหรับผู้ใช้ทั่วไป สิ่งที่ยังใช้ได้เสมอคือหลีกเลี่ยงซอฟต์แวร์เถื่อน ระวังไฟล์รันที่ไม่รู้แหล่งที่มา และอย่ามองข้ามการอัปเดตระบบป้องกัน แม้ยุคของ Windows 95, 98 และ ME จะผ่านไปนานแล้ว แต่หลักคิดเรื่องความเสี่ยงยังเหมือนเดิมเสมอ