มัลแวร์ Chernobyl ตัวจิ๋ว 1KB ที่เคยทำคอมพังถึงระดับ BIOS
มัลแวร์บางตัวไม่ได้อันตรายเพราะซับซ้อนที่สุด แต่อันตรายเพราะโจมตีถูกจุด และ Chernobyl หรือ CIH คือหนึ่งในตัวอย่างที่ยังถูกพูดถึงจนถึงวันนี้ เพราะมันไม่ได้หยุดแค่ทำไฟล์เสีย แต่ไปไกลถึงขั้นเขียนทับข้อมูลบูตไดรฟ์และพยายามแฟลช BIOS ของเครื่อง
ชื่อ CIH มาจาก Chen Ing-Hau นักศึกษาจาก Tatung University ผู้พัฒนามัลแวร์ตัวนี้ในช่วงปี 1998 ตัวมัลแวร์มีขนาดเล็กมาก เพียงราว 1KB แต่ความเสียหายที่เกิดขึ้นกลับใหญ่กว่าขนาดไฟล์หลายเท่า
ชื่อเล่น Chernobyl เกิดจากจังหวะที่มัลแวร์ถูกปล่อยช่วงวันที่ 26 เมษายน ซึ่งตรงกับวันครบรอบอุบัติเหตุโรงไฟฟ้านิวเคลียร์เชอร์โนบิลพอดี ชื่อนี้จึงติดกับมัลแวร์ตัวนี้ และยิ่งทำให้ภาพจำของมันน่ากลัวขึ้นไปอีก
ความเสียหายที่ถูกกล่าวถึงนั้นหนักมาก มีคอมพิวเตอร์ติดมัลแวร์กว่า 60 ล้านเครื่อง และสร้างมูลค่าความเสียหายสูงถึง 40 ล้านดอลลาร์สหรัฐ หรือประมาณ 1,290,580,000 บาท ตัวเลขนี้ทำให้ CIH ไม่ใช่แค่ไวรัสเก่าในประวัติศาสตร์ แต่เป็นบทเรียนเรื่องความเปราะบางของระบบคอมพิวเตอร์ยุค Windows 95, 98 และ ME
ทำไมมัลแวร์ตัวเล็กถึงตรวจจับยาก
จุดแข็งของ Chernobyl คือเทคนิคแบบ Space-Filler หรือการเติมตัวเองลงในช่องว่างของไฟล์รันโปรแกรม แทนที่จะวางโค้ดไว้ตรงหัวหรือท้ายไฟล์เหมือนมัลแวร์หลายตัวในยุคนั้น
วิธีนี้ทำให้ไฟล์ที่ถูกแทรกโค้ดไม่ได้มีขนาดเปลี่ยนแปลงชัดเจน โปรแกรมแอนตี้ไวรัสยุคเก่าที่พึ่งการตรวจขนาดไฟล์จึงจับได้ยากกว่าเดิมมาก ถ้าผู้ใช้ดูจากขนาดไฟล์เพียงอย่างเดียว ก็แทบไม่เห็นความผิดปกติ
มัลแวร์จะสแกนไฟล์แบบ Windows Portable Executable แล้วหาช่องว่างในตัวโค้ด จากนั้นจึงสอดแทรกตัวเองเข้าไป วิธีนี้ฟังดูเรียบง่าย แต่ในเวลานั้นถือเป็นการออกแบบที่ทำให้การป้องกันยุ่งยากขึ้นมาก
มันเริ่มแพร่กระจายผ่านซอฟต์แวร์เถื่อนในช่วงฤดูร้อนปี 1998 ก่อนจะระบาดหนักขึ้นหลังมีกรณีคอมพิวเตอร์ IBM Aptiva PCs ที่มีมัลแวร์ติดมากับเครื่องในเดือนมีนาคม 1999 รวมถึงกรณีเฟิร์มแวร์ไดรฟ์ CD-R ของ Yamaha และเครื่องมือ Back Orifice 2000 ที่ถูกแจกในงาน DEF CON 7 ซึ่งมีมัลแวร์แทรกอยู่เช่นกัน
ความน่ากลัวอยู่ที่ระดับการทำลาย
หลังรันบนเครื่องเหยื่อได้แล้ว CIH จะเข้าแทรกแซงการทำงานจาก Ring 3 ไปจนถึง Ring 0 ทำให้เข้าถึงระดับ Kernel-Level และควบคุมไฟล์ระบบได้ลึกกว่ามัลแวร์ทั่วไปในยุคนั้น
จุดที่ทำให้มันถูกจดจำมากที่สุดคือการเขียนทับ Megabyte แรกของบูตไดรฟ์ด้วยเลข 0 ทั้งหมด ผลคือพาร์ติชันเสียหายและเครื่องไม่สามารถเข้าถึงไดรฟ์ได้ตามปกติ สำหรับผู้ใช้ทั่วไป นี่คืออาการที่เหมือนคอมพิวเตอร์พังทันทีโดยแทบไม่มีสัญญาณเตือน
หนักกว่านั้นคือความพยายามแฟลชมัลแวร์ลงไปยังชิป BIOS หากทำสำเร็จ เครื่องอาจใช้งานไม่ได้จนต้องเปลี่ยนชิป BIOS ใหม่ โดยเฉพาะเครื่องที่ใช้ชิปเซ็ตรุ่น Intel 430TX ซึ่งไม่มีการป้องกันการเขียนทับ BIOS โดยไม่ได้รับอนุญาต
สิ่งที่ทำให้มัลแวร์เก่าตัวนี้ยังถูกพูดถึง คือมันโจมตีในจุดที่ผู้ใช้ทั่วไปมักไม่คิดถึง ไม่ใช่แค่ไฟล์หาย ไม่ใช่แค่ระบบรวน แต่เป็นระดับที่แตะการเริ่มต้นทำงานของเครื่องโดยตรง
บทเรียนจาก Chernobyl จึงไม่ได้มีไว้เพื่อความกลัว แต่เตือนว่าความปลอดภัยของคอมพิวเตอร์ไม่ควรวัดจากความใหม่หรือความซับซ้อนของมัลแวร์เท่านั้น บางครั้งโค้ดเล็ก ๆ ที่เจาะถูกตำแหน่ง ก็สร้างความเสียหายได้มากกว่าที่คิด
สำหรับผู้ใช้ทั่วไป สิ่งที่ยังใช้ได้เสมอคือหลีกเลี่ยงซอฟต์แวร์เถื่อน ระวังไฟล์รันที่ไม่รู้แหล่งที่มา และอย่ามองข้ามการอัปเดตระบบป้องกัน แม้ยุคของ Windows 95, 98 และ ME จะผ่านไปนานแล้ว แต่หลักคิดเรื่องความเสี่ยงยังเหมือนเดิมเสมอ
เขียนโดย Annonymus TN
ค่าดองสาวลาวปัจจุบัน เรียกกันเท่าไหร่ ต้องเตรียมอะไรบ้าง
เปิด 5 อาชีพที่ AI ยังแทนมนุษย์ไม่ได้
ถ้าเอาขยะทั้งโลกไปทิ้งบนดวงอาทิตย์ จะเกิดอะไรขึ้น?
สุดยอดค่ายมวยในไทย ที่ชาวต่างชาตินิยมมาเรียนมวยไทยมากที่สุด
จังหวัดในประเทศไทย ที่ไม่มีห้างสรรพสินค้าขนาดใหญ่ตั้งอยู่เลย
5 มือถือสเปกดีแต่ไม่ค่อยได้รับความนิยมในประเทศไทย
ทำไมเพลงวัยเด็กยังร้องได้ทุกคำ แต่เมนูเมื่อวานกลับนึกไม่ออก? ไขความลับของสมองและความทรงจำ
ถ้าเหมาล็อตเตอรี่ 1,000 ใบ โอกาสถูกรางวัลที่ 1 มีแค่ไหน?
ไทยครองแชมป์เอเชีย เมืองน่าอยู่หลังเกษียณ 2026
ทำไมบ้านในฝรั่งเศสไม่ค่อยติดแอร์ ทั้งที่เจอคลื่นความร้อนหนักขึ้น
ถ้าเห็นคนโดนไฟดูด ควรถีบออกไหม เรื่องสำคัญที่ต้องรู้ก่อนช่วยคนอื่น
108 ท่าบนเตียง มีอะไรบ้าง Sex position ท่าเด็ดบนเตียง



