ไวรัสคอมพิวเตอร์ใกล้ตัวกว่าที่คุณคิด ภาค 3
ค้างพวกคุณเอาไว้ในเรื่องการทดสอบ Rootkit ของระบบปฏิบัติการวินโดวส์ที่สุดพรุ่นไปด้วยช่วงทางเจาะระบบ ลีนุกส์นั้นกลางปีนี้...ได้มีการทดสอบการแอกส์ระบบจากทั่วโลก..ระบบ ปฏิบัติการที่พรุ่นก่อนเพื่อน ไม่ต้องบอกครับ...รู้กันอยู่ ไม่ถึง 4 ชั่วโมงไม่ว่าด้วยการบล็อกโปรแกรมด้วยไฟล์วออร์ หรือวิธีใดๆ ก็ตาม...พรุ่น...ภายในไม่กี่ชัวโมง ตามมาด้วย Mac PC และ อีกตัวผมไม่แน่ใจว่า BBS หรือ OS2 แต่ที่แน่ๆ ... ระบบปฏบัติการ "ลีนุกส์" ๆๆๆๆๆ ไม่สามารถแฮกส์ได้ครับ..ภายใน 7 วันแข่งขัน...สุดยอดจริงๆ แต่ Rootkit ของพวกมันก็พรุ่นครับ...เพราะผมเองเป็นคนที่ใช้งาน "ลีนุกส์ TLE9" ถูกเจ้าแฮกส์เกอร์ประจำจังหวัดลบไฟล์ภายใน TLE ตอนเสียบแฟลชไดร์ฟ เพื่อเซฟงานในวินโดวส์โอ...เล่นอย่างนี้เลย...ปรากฎบูตไม่ขึ้นสิครับ...ต้อง อาศัย Hard ware เพื่อเสิรมการทำงานคือ CD-ROM บูต ลีนุกส์...กัน Rootkit ของวินโดวส์ทำลายเราก่อนเข้าระบบ Kernel ครับ...ที่นี้...โครตเซียนที่ต่อ NetBios เพื่อดูการทำงานของเราผ่าน IP ที่ล็อกเอาไว้...คงยิ้มไม่ออกครับ...ให้มันงงไปอย่างนั้นแหละ...ชาตินี้ทั้ง ชาตก็ไม่สามารถเขียน ROM ได้ครับ...ตามหลักสูตรที่เรียนมาเหมือนๆ กัน...
อา... ก่อนจะเข้าสู่การปูพื้นฐาน "รูทคิต" กัน...ฝากเตือนเพื่อนๆ หลายคนครับที่โดนไวรัสประเภทเดียวกับผมเล่นงานคือ...มีแฟ้มหนึ่งครับ...ที่ ผมเก็บจากเจ้าแฮกส์เกอร์ที่แกล้งผม...และเก็บไปศึกษาครับ...(เจ็บแล้วจำ) มันเล่นงานระบบปฏิบัติการของเราได้แม้ว่าเครื่องจะมีแอนตี้ไวรัสชั่น 1 ก็ตาม จาก การติดตั้งไดร์ฟเวอร์ของ .VBS เพื่อเชื่อมต่อเครื่องพิมพ์ทั้งในเครื่อง และเครื่องข่ายก็ตาม...ขอแค่มันทราบ User จบแล้วครับ...ไม่ต้องทราบ IP อย่างใด...มันอาศัย WMI Object รายละเอียดคำสั่งคงไม่ให้ดูนะ ครับเพราะอาจจะทำให้ระบบของคุณ พรุ่น... เพื่อเปิด Services ในแบบที่แชร์เครื่องพิมพ์ผ่านเครือข่าย...ซึ่งทำให้ไม่ว่ามันจะอยู่ที่ใดบน โลกใบนี้...มันเชื่อมต่อมายังคำสั่งที่ทำเป็นว่าเป็นไดรฟ์เวอร์เครื่องพิมพ์ ...มันก็สามารถเล่นงานได้ครับ...โถ่...เล่นอย่างนี้ได้ครั้งเดียวแหละครับ ...ผมจะจำไว้ใช้งานบ้าง...เพราะในคำสั่งที่มันทิ้งไว้... -d ของพวกมันคือคำสั่งลบไวรัสของพวกมันเอง...ฮิฮิฮิ นึกว่าเราอ่าน .VBS สคริปไม่เป็นซินะ...ตอนนี้ก็เปิดเครื่องไว้รอเทคนิค ใหม่ๆ ของพวกมันอยู่...ไม่ตายอยู่แล้ว...มันไม่ใช่เครื่องของเราเอง...อีกนิดหนึ่ง ครับ...ลืมบอกไปคือ...การฆ่า Rootkit แม้คุณจะใช้โปรแกรม Hijack หรือ Deep ฟรีสเซอร์โหงกุน ก็ตาม ถ้าเป็น Sevices บริการแล้ว...ไม่สามารถลบมันออกได้ครับ...คุณต้องลงไปลึกระดับ Safe Mode เพื่อรื่อฟื้นระบบกันใหม่...แต่ไวรัสไม่ปล่อยให้คุณทำเช่นนั้นแน่นอน...ด้วย การเปลี่ยนคีย์ Safeboot ในรีจีสตีย์ให้เป็นชื่ออื่น...ทำให้บูตไม่ได้...ตายอีก...ทีนี้...ยังไม่ถึง เวลามาพูดถึงวิธีแก้ครับ...เพราะว่า...ก่อนอื่นมาไล่เรียงกันเรื่อง โครงสร้าง Rootkit กันก่อน...ดีกว่า...
การทำงานในเบื้องลึกของ Rootkit ในระบบปฏิบัติการวินโดวส์ XP (เอ็กช์พีอย่างเดียวนะครับ)
1.ดอสสตาร์ทอัป (DOS Startup)
1.1 Config.NT
DIVICE=ไวรัส.EXE
ใน ส่วนนี้สังเกตุให้ดีครับคำสั่ง Device ผู้เขียนไวรัสสามารถจะแทรกคำสั่งไวรัสในส่วนนี้...แต่โปรแกรมที่ทำงานในนี้ ส่วนใหญ่ เป็นโหมด 16 บิต ครับ...หรือเขียนเพื่อติดต่ออินเตอร์เฟสชั้นต่ำ...ไวรัสที่สามารถทำงานในนี้ ได้ต้องอาศัยประสบการณ์ชั้นเซียนอย่างมากเพื่อที่จะฮุกอินเตอร์รัพต์ ให้ได้...แต่ถ้ามันฮุกอินเตอร์รัพต์สำเร็จโปรแกรมฆ่าไวรัสบนวินโดวส์จะหมด ความหมายทันที...ไม่มีสิทธิ์จะฆ่าพวกมันเพราะมันจะหลบซ่อนตัวแบบ "สเตริช์" ครับ...และแม้พวกคุณจะเปิดแฟ้ม Config.nt มาเพื่อหาไวรัสก็ไม่พบคำสั่ง device ของไวรัสครับ...เพราะไวรัสจะทำการลบคำสั่งทิ้งทุกๆ ครั้งที่มีการอินเตอร์รัพต์ไฟล์ชื่อ config.nt และ confis.sys มือปิดแฟ้มไวรัสก็จะเขียนคำสั่งไวรัสเข้าไปใหม่อีกครั้ง...จึงต้องเทพอย่าง มากครับ...คือบูต Floppy Disk หรือ CD-ROM บูตอัปเท่านั้นเพื่อฆ่าไวรัสในนี้...หรือ ต่อฮาร์ดดิกส์ไปยังเครื่องที่ไม่ติดไวรัสเท่านั้น
1.2 Autoexec.NT
LH ไวรัส.EXE
ไวรัส ที่อาศัยคำสั่ง Autoexecute นั้นก็ทำงานเหมือนๆ กับ Config.nt ครับ...เพราะมันจะหลบซ่อนหรือ โยกย้ายหัวอ่านก่อนที่จะสแกนไวรัส และยิ่งมันบรรจุตัวเองด้วยคำสั่ง LH หรือ Load High และ หมดสิทธิ์หลบไวรัสเลยครับ...เพราะมันหน่วยความจำของไดร์ฟเวอร์ระบบ...ไม่ สามารถหลบทิ้งได้...จนกว่าปิดเครื่องครับ...รีสตาร์ทก็ไม่มีผลคับ...คำสั่ง นี้...จะเชื่อมต่อการเขียนโปรแกรมในโหมด Single Processing คือ มันทำงานแบบ DOS คือเรียกโปรแกรมขึ้นมาทำงานได้ทีละโปรแกรม ไม่มีหน้าต่างหรือโปรแกรมหลายๆ โปรแกรมขึ้นมาทำงานพร้อมกันแบบ วินโดวส์ ได้ นอกเสียจากตัวโปรแกรมของมันจะ Shell โปรแกรมอื่นผ่านโปรแกรมของมันอีกที...กว่าคือ...วินโดวส์จะทำงานได้ต้องรอ โปรแกรมของพวกมันอนุญาติ...ให้ทำงานต่อไปเท่านั้น
คำสั่งไวรัสที่อยู่ใน Autoexec.nt นั้นก็สามารถเรียกด้วยคำสั่งได้โดยตรงทีละบรรทัดตามตัวอย่างนี้...
ไวรัส.COM
ไวรัส.EXE
หรือ
Start ไวรัสสคริป...
2.ไดร์ฟเวอร์บูตอัป (Drivers BootUp)
2.1 WIN.INI
[Windows]
Load=ไวรัส.EXE
Run=ไวรัส.EXE
กล่าว ต่อไปคือ...ไวรัสที่อาศัยไดร์ฟเวอร์ของระบบปฏิบัติการเล่นงานคุณ ตามรูปแบบคำสั่งด้านบนไวรัสที่ทำงานในส่วนนี้สามารถใช้คำสั่งแบบ 32 บิตได้...แต่ต้องเป็นคำสั่งที่ทำงานในโหมดโบราณของวินโดวส์คือ 3.11 และ 95 ได้...เพราะไดร์ฟเวอร์ในส่วนนี้...ทำงานก่อนที่ระบบปฏิบัติการณ์วินโดวส์แบบ เต็มตัวจะทำงาน...ที่สำคัญ...คือก่อนโปรแกรมฆ่าไวรัสจะทำงานด้วยซ้ำ จึงทำให้ไวรัสในส่วนนี้จะเคลื่อนย้ายตัวเองไปที่อื่นก่อนที่โปรแกรมฆ่าไวรัส จะทำการสแกนไวรัสในแฟ้มนี้ หรือ บางตัวก็เปิดแฟ้มแบบไม่ให้ใครอ่านได้คือจองไฟล์แฮนเดิล...เอาไว้เพื่อไม่ให้ โปรแกรมใดสามารถเขียนหรืออ่านแฟ้มนี้ได้นั้นเอง...ไวรัสที่อยู่ในคำสั่งนี้ ...จะทำงานได้แม้กระทั้งใน Safe Mode ทุกระดับ...นับว่าเป็นเรื่องยากมากที่จะฆ่าพวกมัน
2.2 SYSTEM.INI
[Boot]
Shell=Explorer.exe ไวรัส.EXE
ส่วน ไวรัสที่อาศัยคำสั่งของ System.ini แต่ต้องเรียกตัวมันทำงานผ่าน Explorer.exe เพื่อครอบคลุมแทร็กในระดับบน...ไวรัสในข้อนี้...จะไม่สามารถทำงานบน Safe Mode Command Prompt จึงสามารถใช้คำสั่งใน CMD ฆ่าพวกมันบน Command Prompt ได้...ถ้าคุณเทพสักหน่อยก็ต้องรู้ว่าคำสั่งใดใช้เปิดอ่านแฟ้ม หรือพิมพ์ Edit windowssystem.ini เพื่อทำการอ่านและลบคำสั่งไวรัสทิ้งจากระบเสีย...
ให้สังเกตให้ดีๆ ครับไม่ใช่ลบมั่ว...ให้สังเกตคำสั่ง [Boot]
2.3 WININIT.INI
[Rename]
NUL=ไวรัส.EXE
คำ สั่งที่จะเป็นอันตรายต่อไปคือ คำสั่งนี้...มันไม่ได้เรียกไวรัสทำงานแต่มันมีไว้สำหรับซ่อนแฟ้มไวรัสไม่ให้ มองเห็น...ส่วนรายละเอียด...ผมยังศึกษาไม่กระจ่าง...เพราะก็อปชุดคำสั่งมา จากเวปต่างประเทศโดยผมอ่านภาษาอังกฤษได้แค่งูๆ ปลาๆ
3.รีจีสตรีย์สตาร์ทอัป Registry Startup
3.1 REG.EXE Query HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion /v “RunServices”
คำ สั่งในส่วนนี้หลายคนก็คงรู้ว่าในระบบรีจีสตรีย์นั้นถ้าคุณจะติดตั้งโปรแกรม หรือทำให้โปรแกรททำานโดยอัตโนมัติต้องอาศัยคำสั่งเหล่านี้...ตัวแรก...คำ สั่ง Runservices คำสั่งนี้โดยทั่วไปเอาไว้สำหรับติดตั้งโปรแกรมและบริการของระบบปฏิบัติการ วินโดวส์แต่ไวรัสก็นำคำสั่งชุดนี้มาให้...เพื่อให้พวกมันทำงานได้ในระดับ Sevices จึงทำให้ไม่สามารถทำการ Kill Process ได้...จึงต้องเข้าไปปราบพวกมันผ่าน Safe Mode หรือปิด Services ของพวกมันอย่างเดียว...
3.2 REG.EXE Query HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion /v “RunServicesOnce”
คำ สั่งนี้ทำงานแบบคำสั่งที่แล้ว...กล่าวคือเป็นคำสั่งเรียกใช้โปรแกรมทำงานโดย อัตโนมัติแต่...มันพิเศษตรงที่...คำสั่งใน "ฮีฟ" นี้...มันจะถูกเรียกใช้งานครั้งเดียว...จึงทำให้ไวรัสอาศัยคำสั่งนี้เรียก ทำงานในครั้งแรกที่มีติดเชื้อในระบบจากนั้นมันก็ซ่อนตัวเอง...แบบหายไปกับ กลีบเมฆ
3.3 REG.EXE Query HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion /v “Run”
คำ สั่งนี้จะทำงานทุกๆ ครั้งที่เปิดเครื่อง รีสตาร์ท และ Logon ดังนั้นมันจึงมีซากไวรัสปรากฎให้พวกคุณเห็นในคำสั่ง Msconfig หรือ Hijack และถ้าลบคำสั่งไวรัสในส่วนนี้ทิ้งจะทำให้ไวรัสถูกแช่แข็งในเครื่อง...(ไวรัส กระจอก) จากนั้นก็ตามไปลบแฟ้มไวรัสที่ระบุใน "คีย์" ดังกล่าวได้ทันที
3.4 REG.EXE Query HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion /v “RunServices”
จาก ตัวอย่างในข้อ 3.1 ที่กล่าวมาแล้ว "ฮีฟ" นี้ทำงานในแบบเดียวกัน...แต่ต่างกันตรงที่มันอยู่ในส่วนของ HKCU คือ ส่วนของ HKey_Current_User ซึ่งจะถูกเรียกใช้งานเฉพาะผู้ใช้งานที่กำลังเปิดอยู่เท่านั้น...จะไม่ไปยุ่ง เกียวกับ User อื่น เช่น Administrator
3.5 REG.EXE Query HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion /v “RunOnce”
คำ สั่งนี้เหมือนในข้อ 3.2 แต่มันไม่ทำงานในยูสเซอร์อื่นนอกจากผู้ใช้งานที่ติดตั้งคำสั่งนี้...ที่ สำคัญ...มันจะถูกเรียกใช้งานครั้งเดียวเท่านั้น...และไม่ติดตั้งโปรแกรมใน ระดับ Services
3.6 REG.EXE Query HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion /v “Run”
เหมือนกับคำสั่ง 3.3 แต่ต่างกันที่มันถูกเรียกเฉพาะผู้ใช้งาน
4.เอ็กช์โพเลอร์สตาร์ทอัป (Explorer Startup)
5.โฟลเดอร์สตาร์ทอัป (Folders Startup)
5.1 REG.EXE Query HKLM...Explorer /v “ShellFoldersStartuUp”
5.2 REG.EXE Query HKLM...ExplorerUserShellFolders /v “ShellFoldersStartuUp”
5.3 REG.EXE Query HKCU...Explorer /v “ShellFoldersStartuUp”
5.4 REG.EXE Query HKLM...ExplorerUserShellFolders /v “ShellFoldersStartuUp”
6.เชลล์โปรแกรม (Shell Programs)
6.1 HKCU(นามสกุล)ShellOpenCommand /v @
6.2 HKLMSoftwareClasses(นามสกุล)ShellOpenCommand /v @
7.แอ็กทีฟเอ็กซ์คอมโพเน้นท์ (Active X Component)
REG.EXE Query HKLMSOFTWAREMicrosolftActiveSetupInstalled ComponentsKeyName /v “StubPath”
คุณ คิดบ้างใหม...? บทภาพยนตร์ที่ถูกประพันธ์ โดยเราๆ ทุกคน...กำลังจะจบลงด้วยความเลวทรามของคนบางคนที่ชอบคิดว่าตัวเองคือ ผู้วิเศษและ สรรหาเชื้อโรคร้ายมาสู่จิตวิญญาณเราทุกคน...ไม่ใช่ในโลกแห่งชีวิต แต่ผมหมายถึงโรคแห่งจินตนาการ...โลกแห่งข้อมูล...โลกแห่งมายาทางคณิตศาสตร์ ที่เรามนุษย์ทุกๆ คน ภูมิใจที่ได้ใช้ชีวิตรวมไปกับมัน "คอมพิวเตอร์" คุณล่ะ...? คิดบ้างหรือเปล่า ทำไมคุณต้องมารับผิดชอบต่อผลกระทบที่เกิดจากไวรัสคอมพิวเตอร์ ทำไมคนพวกนั้นเขาถึงต้องเขียนมันขึ้นมา...? สิ่งที่ผมสามารถจะตอบคำถามให้คุณได้ อยู่ในหนังสือเล่มนี้...และคุณเอง...คือผู้ปลดปล่อย...ผู้ที่จะทำให้โลกใน คอมพิวเตอร์น่าอยู่ขึ้น...คุณไม่ใช่แค่ตัวละครในเรื่อง "Matrix" แต่คุณคือคนที่มีชีวิตอยู่อันพรั่งพร้อมด้วยสติปัญญา...ความกล้าหาญ...ความ รับผิดชอบ...ที่จะใช้เวทย์มนต์ทางคณิตศาสตร์ด้วยโปรแกรมและคำสั่งเพียงไม่ กี่คำสั่งที่จะทำลาย "มัลแวร์" ซึ่งเป็นโปรแกรมชั่วร้ายที่ไม่เคยละเว้นการทำลายเครื่องของใครเลย...เอาล่ะ ...ถ้าคุณคิดว่าแน่กว่าพวกมัน...ก็ลองทำตามนี้เลย...
ปฐมบท...
กับผู้กล้าที่เราควรยกย่องพวกเขา "นักฆ่าอาร์ทีคีล ; RTKiller Antivirus" พวกเขาเป็นนักศึกษามหาวิทยาลัยรังสิต ที่เขียนโปรแกรมฆ่ามาเข่นฆ่า "ไวรัสคอมพิวเตอร์" เป็นกลุ่มแรกในประเทศไทยเรา แต่ต้องยอมรับว่าเขาเหล่านั้น ต้องเป็นเพียงตำนานไป เพราะไวรัสคอมพิวเตอร์ในยุคนั้นถือว่าดุร้ายอันตรายอย่างมาก แม้แต่โปรแกรมฆ่าไวรัสเอง ก็ต้องกลายเป็นพาหะแพร่เชื้อไวรัสเช่นกัน เป็นเพราะไวรัสชั่วร้ายเหล่านี้ไม่ได้มีเฉพาะในประเทศไทยเรา ...แต่มันมาจากทุกๆ แหล่งทั่วโลกซึ่งพวกแฮกเกอร์ชั่วร้ายเหล่านั้นเก่งเวทย์มนต์คำสั่งภาษาระดับ ต่ำอย่างมาก ทำให้ไวรัสในยุคแรก ไม่ใช่เป็นเพียงตำนาน แต่มันเหมือน "อสูรดึกดำบรรพ์" ที่มีความเก่งกาจกว่าไวรัสลูกๆ หลานยุคใหม่ๆ อย่างมาก ไวรัสที่ถูกเขียนด้วยภาษา Assembly และภาษา C นั้นมีความสามารถสูงและมีขนาดเล็ก มากๆ เพียงแต่คำสั่งในระดับนี้ต้องอาศัยผู้ที่เก่งกาจและเชี่ยวชาญด้าน DOS Interface อย่างมาก มันอาจหลับไหลอยู่ในจิตใจของคนพวกนั้นอยู่ แต่ถ้ามันถูกปลุกขึ้นมาเพื่อผสมรวมกับคำสั่งภาษารุ่นใหม่ๆ จะทำให้ไม่มีทางที่กำจัดพวกมันได้ง่าย อย่างที่หลายๆ คนคิดกัน "เหมือนตำนานแดร็กคิวล่า...บิดาแห่งผีดิบทั้งมวล"
ทุติยบท...
ผมเองครั้งหนึ่งเคยหลงไหลกับคำสั่งในสคริปแบทไฟล์ อย่างมาก เพื่อหาทางเขียนมันขึ้นมากลั่นแกล้งผู้อื่น เป็นความคิดของเด็กๆ คนหนึ่งที่มีปัญหาทางจิตใจ คำสั่งชั่วร้ายเหล่านั้นมันสามารถทำให้คนอื่นปวดหัว และสับสนในการใช้คอมพิวเตอร์อย่างมาก...เพราะเขาเหล่านั้นเองไม่เคยศึกษาการ ทำงานของพวกไวรัสเลย จึงเป็นจุดอ่อนของนักฆ่าไวรัสรุ่นใหม่ๆ ทุกคน...ที่คิดว่า นำไวรัสผู้อื่นมาทดลองฆ่า...แต่กับไม่รู้ซึ่งถึงคำสั่งของพวกมันเลย แต่ทุกวันนี้ผมอยู่ใน "เวทย์มนต์คำสั่งสายขาว" คือนำจุดอ่อนของนักฆ่าไวรัสมาปรับปรุงให้นักฆ่าไวรัสทุกๆ คน...รู้เท่าทันและปรับยุทธวิธีให้ฆ่า "คำสั่งชั่วร้ายเหล่านั้นได้...แม้มันจะเป็นคำสั่งที่กลายพันธ์ตัวมันเอง ได้"
ปัจจุบันนี้...ผมได้สร้างโปรแกรม "แคทอาย" ซึ่งเป็นฉายาของผมมาเข่นฆ่าไวรัสที่ตัวเองถนัดเขียนอย่างมาก คือ "ไวรัสสคริป" ผมหวังไว้ว่า..."ผู้ที่กล้าหาญอย่างพวกคุณ...จะเป็นบุคคลหนึ่งที่เห็นความ สำคัญในการดูแลและปกป้องข้อมูลของตนและผู้อื่น...และทำให้ชื่อเสียงของพวก คุณถูกคนทั่วๆ ไปจารึกเอาไว้ใน สาระสนเทศแห่งข้อมูลที่ไม่รู้จบบนโลกใบนี้"
ตติยบท...
พร้อมหรือยัง...จะเป็นบุคคลหนึ่งที่ถูกจารึกชื่อเอาไว้...ในสาระบบทั้งมวล...อย่างนั้นมาพบกับผู้กล้า
คนแรก "ธีระยุทธ สินล้าน" นักฆ่าไวรัสรุ่นใหม่...นักศึกษา ม.ขอนแก่น ถนัดการกำจัดไวรัสจำพวก "RootKit" ได้แก่เครื่องมือฆ่า "ไวรัส BronTok" ด้วยโปรแกรมฆ่าไวรัสตัวนี้สามารถฆ่าไวรัสที่ฝั่งอยู่ที่เครื่องของพวกคุณ บน Explorer ได้เลย...ไม่ต้องเข้าสู่ Safe Mode แต่อย่างใด
คนที่สอง "เพรช ติยะพันธ์" นักฆ่าไวรัสรุ่นใหม่ ชาวนครศรีธรรมราช... ถนัดการกำจัดไวรัสจำพวก "AutoIt" ได้สร้างโปรแกรมตรวจสอบไวรัสที่สามารถทำลายไวรัสที่ฝั่งอยู่ในอุปกรณ์บันทึก ข้อมูลที่สามารถเขียนได้ โปรแกรมของเขาสามารถทำงานได้ในระดับที่ดี...แต่ยังต้องพัฒนาต่อไปเพื่อ แข่งขันกับการแข่งขันเชิงปฏิบัติการในสมรภูมิจริง กับเครื่องของพวกคุณ
คนที่สาม ... อาจเป็นคุณที่จะสร้างชื่อและความสามารถผ่าน Web 2.0 ด้วยการใช้เวลาว่างเป็น Bloger เพื่อเขียนทางแก้ไข หรือโปรแกรมฆ่าไวรัสผ่านเวปไซด์เพื่อให้เห็นกันไปเลยว่า "ใครจะอยู่หรือจะไป" ระหว่างนักฆ่าไวรัสและนักเขียนไวรัส แม้สงครามนี้จะยาวนานตราบสิ้นสงคราม แต่ชื่อและเกียรติประวัติของพวกคุณจะคงอยู่ต่อไป...ผู้เขียนหวังว่าหนังสือ เล่มนี้...จะทำให้คนที่เล่นอินเตอร์เน็ตเพื่อแกล้งชาวบ้าน หรือนักเขียนไวรัส จะกลับตัวและหันมาสื่อสารข้อมูลที่เป็นเชิงสร้างสรรให้มากยิ่งขึ้น เพื่อความสงบสุขตราบที่เวลาจะมีให้ได้
อา... ก่อนจะเข้าสู่การปูพื้นฐาน "รูทคิต" กัน...ฝากเตือนเพื่อนๆ หลายคนครับที่โดนไวรัสประเภทเดียวกับผมเล่นงานคือ...มีแฟ้มหนึ่งครับ...ที่ ผมเก็บจากเจ้าแฮกส์เกอร์ที่แกล้งผม...และเก็บไปศึกษาครับ...(เจ็บแล้วจำ) มันเล่นงานระบบปฏิบัติการของเราได้แม้ว่าเครื่องจะมีแอนตี้ไวรัสชั่น 1 ก็ตาม จาก การติดตั้งไดร์ฟเวอร์ของ .VBS เพื่อเชื่อมต่อเครื่องพิมพ์ทั้งในเครื่อง และเครื่องข่ายก็ตาม...ขอแค่มันทราบ User จบแล้วครับ...ไม่ต้องทราบ IP อย่างใด...มันอาศัย WMI Object รายละเอียดคำสั่งคงไม่ให้ดูนะ ครับเพราะอาจจะทำให้ระบบของคุณ พรุ่น... เพื่อเปิด Services ในแบบที่แชร์เครื่องพิมพ์ผ่านเครือข่าย...ซึ่งทำให้ไม่ว่ามันจะอยู่ที่ใดบน โลกใบนี้...มันเชื่อมต่อมายังคำสั่งที่ทำเป็นว่าเป็นไดรฟ์เวอร์เครื่องพิมพ์ ...มันก็สามารถเล่นงานได้ครับ...โถ่...เล่นอย่างนี้ได้ครั้งเดียวแหละครับ ...ผมจะจำไว้ใช้งานบ้าง...เพราะในคำสั่งที่มันทิ้งไว้... -d ของพวกมันคือคำสั่งลบไวรัสของพวกมันเอง...ฮิฮิฮิ นึกว่าเราอ่าน .VBS สคริปไม่เป็นซินะ...ตอนนี้ก็เปิดเครื่องไว้รอเทคนิค ใหม่ๆ ของพวกมันอยู่...ไม่ตายอยู่แล้ว...มันไม่ใช่เครื่องของเราเอง...อีกนิดหนึ่ง ครับ...ลืมบอกไปคือ...การฆ่า Rootkit แม้คุณจะใช้โปรแกรม Hijack หรือ Deep ฟรีสเซอร์โหงกุน ก็ตาม ถ้าเป็น Sevices บริการแล้ว...ไม่สามารถลบมันออกได้ครับ...คุณต้องลงไปลึกระดับ Safe Mode เพื่อรื่อฟื้นระบบกันใหม่...แต่ไวรัสไม่ปล่อยให้คุณทำเช่นนั้นแน่นอน...ด้วย การเปลี่ยนคีย์ Safeboot ในรีจีสตีย์ให้เป็นชื่ออื่น...ทำให้บูตไม่ได้...ตายอีก...ทีนี้...ยังไม่ถึง เวลามาพูดถึงวิธีแก้ครับ...เพราะว่า...ก่อนอื่นมาไล่เรียงกันเรื่อง โครงสร้าง Rootkit กันก่อน...ดีกว่า...
การทำงานในเบื้องลึกของ Rootkit ในระบบปฏิบัติการวินโดวส์ XP (เอ็กช์พีอย่างเดียวนะครับ)
1.ดอสสตาร์ทอัป (DOS Startup)
1.1 Config.NT
DIVICE=ไวรัส.EXE
ใน ส่วนนี้สังเกตุให้ดีครับคำสั่ง Device ผู้เขียนไวรัสสามารถจะแทรกคำสั่งไวรัสในส่วนนี้...แต่โปรแกรมที่ทำงานในนี้ ส่วนใหญ่ เป็นโหมด 16 บิต ครับ...หรือเขียนเพื่อติดต่ออินเตอร์เฟสชั้นต่ำ...ไวรัสที่สามารถทำงานในนี้ ได้ต้องอาศัยประสบการณ์ชั้นเซียนอย่างมากเพื่อที่จะฮุกอินเตอร์รัพต์ ให้ได้...แต่ถ้ามันฮุกอินเตอร์รัพต์สำเร็จโปรแกรมฆ่าไวรัสบนวินโดวส์จะหมด ความหมายทันที...ไม่มีสิทธิ์จะฆ่าพวกมันเพราะมันจะหลบซ่อนตัวแบบ "สเตริช์" ครับ...และแม้พวกคุณจะเปิดแฟ้ม Config.nt มาเพื่อหาไวรัสก็ไม่พบคำสั่ง device ของไวรัสครับ...เพราะไวรัสจะทำการลบคำสั่งทิ้งทุกๆ ครั้งที่มีการอินเตอร์รัพต์ไฟล์ชื่อ config.nt และ confis.sys มือปิดแฟ้มไวรัสก็จะเขียนคำสั่งไวรัสเข้าไปใหม่อีกครั้ง...จึงต้องเทพอย่าง มากครับ...คือบูต Floppy Disk หรือ CD-ROM บูตอัปเท่านั้นเพื่อฆ่าไวรัสในนี้...หรือ ต่อฮาร์ดดิกส์ไปยังเครื่องที่ไม่ติดไวรัสเท่านั้น
1.2 Autoexec.NT
LH ไวรัส.EXE
ไวรัส ที่อาศัยคำสั่ง Autoexecute นั้นก็ทำงานเหมือนๆ กับ Config.nt ครับ...เพราะมันจะหลบซ่อนหรือ โยกย้ายหัวอ่านก่อนที่จะสแกนไวรัส และยิ่งมันบรรจุตัวเองด้วยคำสั่ง LH หรือ Load High และ หมดสิทธิ์หลบไวรัสเลยครับ...เพราะมันหน่วยความจำของไดร์ฟเวอร์ระบบ...ไม่ สามารถหลบทิ้งได้...จนกว่าปิดเครื่องครับ...รีสตาร์ทก็ไม่มีผลคับ...คำสั่ง นี้...จะเชื่อมต่อการเขียนโปรแกรมในโหมด Single Processing คือ มันทำงานแบบ DOS คือเรียกโปรแกรมขึ้นมาทำงานได้ทีละโปรแกรม ไม่มีหน้าต่างหรือโปรแกรมหลายๆ โปรแกรมขึ้นมาทำงานพร้อมกันแบบ วินโดวส์ ได้ นอกเสียจากตัวโปรแกรมของมันจะ Shell โปรแกรมอื่นผ่านโปรแกรมของมันอีกที...กว่าคือ...วินโดวส์จะทำงานได้ต้องรอ โปรแกรมของพวกมันอนุญาติ...ให้ทำงานต่อไปเท่านั้น
คำสั่งไวรัสที่อยู่ใน Autoexec.nt นั้นก็สามารถเรียกด้วยคำสั่งได้โดยตรงทีละบรรทัดตามตัวอย่างนี้...
ไวรัส.COM
ไวรัส.EXE
หรือ
Start ไวรัสสคริป...
2.ไดร์ฟเวอร์บูตอัป (Drivers BootUp)
2.1 WIN.INI
[Windows]
Load=ไวรัส.EXE
Run=ไวรัส.EXE
กล่าว ต่อไปคือ...ไวรัสที่อาศัยไดร์ฟเวอร์ของระบบปฏิบัติการเล่นงานคุณ ตามรูปแบบคำสั่งด้านบนไวรัสที่ทำงานในส่วนนี้สามารถใช้คำสั่งแบบ 32 บิตได้...แต่ต้องเป็นคำสั่งที่ทำงานในโหมดโบราณของวินโดวส์คือ 3.11 และ 95 ได้...เพราะไดร์ฟเวอร์ในส่วนนี้...ทำงานก่อนที่ระบบปฏิบัติการณ์วินโดวส์แบบ เต็มตัวจะทำงาน...ที่สำคัญ...คือก่อนโปรแกรมฆ่าไวรัสจะทำงานด้วยซ้ำ จึงทำให้ไวรัสในส่วนนี้จะเคลื่อนย้ายตัวเองไปที่อื่นก่อนที่โปรแกรมฆ่าไวรัส จะทำการสแกนไวรัสในแฟ้มนี้ หรือ บางตัวก็เปิดแฟ้มแบบไม่ให้ใครอ่านได้คือจองไฟล์แฮนเดิล...เอาไว้เพื่อไม่ให้ โปรแกรมใดสามารถเขียนหรืออ่านแฟ้มนี้ได้นั้นเอง...ไวรัสที่อยู่ในคำสั่งนี้ ...จะทำงานได้แม้กระทั้งใน Safe Mode ทุกระดับ...นับว่าเป็นเรื่องยากมากที่จะฆ่าพวกมัน
2.2 SYSTEM.INI
[Boot]
Shell=Explorer.exe ไวรัส.EXE
ส่วน ไวรัสที่อาศัยคำสั่งของ System.ini แต่ต้องเรียกตัวมันทำงานผ่าน Explorer.exe เพื่อครอบคลุมแทร็กในระดับบน...ไวรัสในข้อนี้...จะไม่สามารถทำงานบน Safe Mode Command Prompt จึงสามารถใช้คำสั่งใน CMD ฆ่าพวกมันบน Command Prompt ได้...ถ้าคุณเทพสักหน่อยก็ต้องรู้ว่าคำสั่งใดใช้เปิดอ่านแฟ้ม หรือพิมพ์ Edit windowssystem.ini เพื่อทำการอ่านและลบคำสั่งไวรัสทิ้งจากระบเสีย...
ให้สังเกตให้ดีๆ ครับไม่ใช่ลบมั่ว...ให้สังเกตคำสั่ง [Boot]
2.3 WININIT.INI
[Rename]
NUL=ไวรัส.EXE
คำ สั่งที่จะเป็นอันตรายต่อไปคือ คำสั่งนี้...มันไม่ได้เรียกไวรัสทำงานแต่มันมีไว้สำหรับซ่อนแฟ้มไวรัสไม่ให้ มองเห็น...ส่วนรายละเอียด...ผมยังศึกษาไม่กระจ่าง...เพราะก็อปชุดคำสั่งมา จากเวปต่างประเทศโดยผมอ่านภาษาอังกฤษได้แค่งูๆ ปลาๆ
3.รีจีสตรีย์สตาร์ทอัป Registry Startup
3.1 REG.EXE Query HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion /v “RunServices”
คำ สั่งในส่วนนี้หลายคนก็คงรู้ว่าในระบบรีจีสตรีย์นั้นถ้าคุณจะติดตั้งโปรแกรม หรือทำให้โปรแกรททำานโดยอัตโนมัติต้องอาศัยคำสั่งเหล่านี้...ตัวแรก...คำ สั่ง Runservices คำสั่งนี้โดยทั่วไปเอาไว้สำหรับติดตั้งโปรแกรมและบริการของระบบปฏิบัติการ วินโดวส์แต่ไวรัสก็นำคำสั่งชุดนี้มาให้...เพื่อให้พวกมันทำงานได้ในระดับ Sevices จึงทำให้ไม่สามารถทำการ Kill Process ได้...จึงต้องเข้าไปปราบพวกมันผ่าน Safe Mode หรือปิด Services ของพวกมันอย่างเดียว...
3.2 REG.EXE Query HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion /v “RunServicesOnce”
คำ สั่งนี้ทำงานแบบคำสั่งที่แล้ว...กล่าวคือเป็นคำสั่งเรียกใช้โปรแกรมทำงานโดย อัตโนมัติแต่...มันพิเศษตรงที่...คำสั่งใน "ฮีฟ" นี้...มันจะถูกเรียกใช้งานครั้งเดียว...จึงทำให้ไวรัสอาศัยคำสั่งนี้เรียก ทำงานในครั้งแรกที่มีติดเชื้อในระบบจากนั้นมันก็ซ่อนตัวเอง...แบบหายไปกับ กลีบเมฆ
3.3 REG.EXE Query HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion /v “Run”
คำ สั่งนี้จะทำงานทุกๆ ครั้งที่เปิดเครื่อง รีสตาร์ท และ Logon ดังนั้นมันจึงมีซากไวรัสปรากฎให้พวกคุณเห็นในคำสั่ง Msconfig หรือ Hijack และถ้าลบคำสั่งไวรัสในส่วนนี้ทิ้งจะทำให้ไวรัสถูกแช่แข็งในเครื่อง...(ไวรัส กระจอก) จากนั้นก็ตามไปลบแฟ้มไวรัสที่ระบุใน "คีย์" ดังกล่าวได้ทันที
3.4 REG.EXE Query HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion /v “RunServices”
จาก ตัวอย่างในข้อ 3.1 ที่กล่าวมาแล้ว "ฮีฟ" นี้ทำงานในแบบเดียวกัน...แต่ต่างกันตรงที่มันอยู่ในส่วนของ HKCU คือ ส่วนของ HKey_Current_User ซึ่งจะถูกเรียกใช้งานเฉพาะผู้ใช้งานที่กำลังเปิดอยู่เท่านั้น...จะไม่ไปยุ่ง เกียวกับ User อื่น เช่น Administrator
3.5 REG.EXE Query HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion /v “RunOnce”
คำ สั่งนี้เหมือนในข้อ 3.2 แต่มันไม่ทำงานในยูสเซอร์อื่นนอกจากผู้ใช้งานที่ติดตั้งคำสั่งนี้...ที่ สำคัญ...มันจะถูกเรียกใช้งานครั้งเดียวเท่านั้น...และไม่ติดตั้งโปรแกรมใน ระดับ Services
3.6 REG.EXE Query HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion /v “Run”
เหมือนกับคำสั่ง 3.3 แต่ต่างกันที่มันถูกเรียกเฉพาะผู้ใช้งาน
4.เอ็กช์โพเลอร์สตาร์ทอัป (Explorer Startup)
5.โฟลเดอร์สตาร์ทอัป (Folders Startup)
5.1 REG.EXE Query HKLM...Explorer /v “ShellFoldersStartuUp”
5.2 REG.EXE Query HKLM...ExplorerUserShellFolders /v “ShellFoldersStartuUp”
5.3 REG.EXE Query HKCU...Explorer /v “ShellFoldersStartuUp”
5.4 REG.EXE Query HKLM...ExplorerUserShellFolders /v “ShellFoldersStartuUp”
6.เชลล์โปรแกรม (Shell Programs)
6.1 HKCU(นามสกุล)ShellOpenCommand /v @
6.2 HKLMSoftwareClasses(นามสกุล)ShellOpenCommand /v @
7.แอ็กทีฟเอ็กซ์คอมโพเน้นท์ (Active X Component)
REG.EXE Query HKLMSOFTWAREMicrosolftActiveSetupInstalled ComponentsKeyName /v “StubPath”
คุณ คิดบ้างใหม...? บทภาพยนตร์ที่ถูกประพันธ์ โดยเราๆ ทุกคน...กำลังจะจบลงด้วยความเลวทรามของคนบางคนที่ชอบคิดว่าตัวเองคือ ผู้วิเศษและ สรรหาเชื้อโรคร้ายมาสู่จิตวิญญาณเราทุกคน...ไม่ใช่ในโลกแห่งชีวิต แต่ผมหมายถึงโรคแห่งจินตนาการ...โลกแห่งข้อมูล...โลกแห่งมายาทางคณิตศาสตร์ ที่เรามนุษย์ทุกๆ คน ภูมิใจที่ได้ใช้ชีวิตรวมไปกับมัน "คอมพิวเตอร์" คุณล่ะ...? คิดบ้างหรือเปล่า ทำไมคุณต้องมารับผิดชอบต่อผลกระทบที่เกิดจากไวรัสคอมพิวเตอร์ ทำไมคนพวกนั้นเขาถึงต้องเขียนมันขึ้นมา...? สิ่งที่ผมสามารถจะตอบคำถามให้คุณได้ อยู่ในหนังสือเล่มนี้...และคุณเอง...คือผู้ปลดปล่อย...ผู้ที่จะทำให้โลกใน คอมพิวเตอร์น่าอยู่ขึ้น...คุณไม่ใช่แค่ตัวละครในเรื่อง "Matrix" แต่คุณคือคนที่มีชีวิตอยู่อันพรั่งพร้อมด้วยสติปัญญา...ความกล้าหาญ...ความ รับผิดชอบ...ที่จะใช้เวทย์มนต์ทางคณิตศาสตร์ด้วยโปรแกรมและคำสั่งเพียงไม่ กี่คำสั่งที่จะทำลาย "มัลแวร์" ซึ่งเป็นโปรแกรมชั่วร้ายที่ไม่เคยละเว้นการทำลายเครื่องของใครเลย...เอาล่ะ ...ถ้าคุณคิดว่าแน่กว่าพวกมัน...ก็ลองทำตามนี้เลย...
ปฐมบท...
กับผู้กล้าที่เราควรยกย่องพวกเขา "นักฆ่าอาร์ทีคีล ; RTKiller Antivirus" พวกเขาเป็นนักศึกษามหาวิทยาลัยรังสิต ที่เขียนโปรแกรมฆ่ามาเข่นฆ่า "ไวรัสคอมพิวเตอร์" เป็นกลุ่มแรกในประเทศไทยเรา แต่ต้องยอมรับว่าเขาเหล่านั้น ต้องเป็นเพียงตำนานไป เพราะไวรัสคอมพิวเตอร์ในยุคนั้นถือว่าดุร้ายอันตรายอย่างมาก แม้แต่โปรแกรมฆ่าไวรัสเอง ก็ต้องกลายเป็นพาหะแพร่เชื้อไวรัสเช่นกัน เป็นเพราะไวรัสชั่วร้ายเหล่านี้ไม่ได้มีเฉพาะในประเทศไทยเรา ...แต่มันมาจากทุกๆ แหล่งทั่วโลกซึ่งพวกแฮกเกอร์ชั่วร้ายเหล่านั้นเก่งเวทย์มนต์คำสั่งภาษาระดับ ต่ำอย่างมาก ทำให้ไวรัสในยุคแรก ไม่ใช่เป็นเพียงตำนาน แต่มันเหมือน "อสูรดึกดำบรรพ์" ที่มีความเก่งกาจกว่าไวรัสลูกๆ หลานยุคใหม่ๆ อย่างมาก ไวรัสที่ถูกเขียนด้วยภาษา Assembly และภาษา C นั้นมีความสามารถสูงและมีขนาดเล็ก มากๆ เพียงแต่คำสั่งในระดับนี้ต้องอาศัยผู้ที่เก่งกาจและเชี่ยวชาญด้าน DOS Interface อย่างมาก มันอาจหลับไหลอยู่ในจิตใจของคนพวกนั้นอยู่ แต่ถ้ามันถูกปลุกขึ้นมาเพื่อผสมรวมกับคำสั่งภาษารุ่นใหม่ๆ จะทำให้ไม่มีทางที่กำจัดพวกมันได้ง่าย อย่างที่หลายๆ คนคิดกัน "เหมือนตำนานแดร็กคิวล่า...บิดาแห่งผีดิบทั้งมวล"
ทุติยบท...
ผมเองครั้งหนึ่งเคยหลงไหลกับคำสั่งในสคริปแบทไฟล์ อย่างมาก เพื่อหาทางเขียนมันขึ้นมากลั่นแกล้งผู้อื่น เป็นความคิดของเด็กๆ คนหนึ่งที่มีปัญหาทางจิตใจ คำสั่งชั่วร้ายเหล่านั้นมันสามารถทำให้คนอื่นปวดหัว และสับสนในการใช้คอมพิวเตอร์อย่างมาก...เพราะเขาเหล่านั้นเองไม่เคยศึกษาการ ทำงานของพวกไวรัสเลย จึงเป็นจุดอ่อนของนักฆ่าไวรัสรุ่นใหม่ๆ ทุกคน...ที่คิดว่า นำไวรัสผู้อื่นมาทดลองฆ่า...แต่กับไม่รู้ซึ่งถึงคำสั่งของพวกมันเลย แต่ทุกวันนี้ผมอยู่ใน "เวทย์มนต์คำสั่งสายขาว" คือนำจุดอ่อนของนักฆ่าไวรัสมาปรับปรุงให้นักฆ่าไวรัสทุกๆ คน...รู้เท่าทันและปรับยุทธวิธีให้ฆ่า "คำสั่งชั่วร้ายเหล่านั้นได้...แม้มันจะเป็นคำสั่งที่กลายพันธ์ตัวมันเอง ได้"
ปัจจุบันนี้...ผมได้สร้างโปรแกรม "แคทอาย" ซึ่งเป็นฉายาของผมมาเข่นฆ่าไวรัสที่ตัวเองถนัดเขียนอย่างมาก คือ "ไวรัสสคริป" ผมหวังไว้ว่า..."ผู้ที่กล้าหาญอย่างพวกคุณ...จะเป็นบุคคลหนึ่งที่เห็นความ สำคัญในการดูแลและปกป้องข้อมูลของตนและผู้อื่น...และทำให้ชื่อเสียงของพวก คุณถูกคนทั่วๆ ไปจารึกเอาไว้ใน สาระสนเทศแห่งข้อมูลที่ไม่รู้จบบนโลกใบนี้"
ตติยบท...
พร้อมหรือยัง...จะเป็นบุคคลหนึ่งที่ถูกจารึกชื่อเอาไว้...ในสาระบบทั้งมวล...อย่างนั้นมาพบกับผู้กล้า
คนแรก "ธีระยุทธ สินล้าน" นักฆ่าไวรัสรุ่นใหม่...นักศึกษา ม.ขอนแก่น ถนัดการกำจัดไวรัสจำพวก "RootKit" ได้แก่เครื่องมือฆ่า "ไวรัส BronTok" ด้วยโปรแกรมฆ่าไวรัสตัวนี้สามารถฆ่าไวรัสที่ฝั่งอยู่ที่เครื่องของพวกคุณ บน Explorer ได้เลย...ไม่ต้องเข้าสู่ Safe Mode แต่อย่างใด
คนที่สอง "เพรช ติยะพันธ์" นักฆ่าไวรัสรุ่นใหม่ ชาวนครศรีธรรมราช... ถนัดการกำจัดไวรัสจำพวก "AutoIt" ได้สร้างโปรแกรมตรวจสอบไวรัสที่สามารถทำลายไวรัสที่ฝั่งอยู่ในอุปกรณ์บันทึก ข้อมูลที่สามารถเขียนได้ โปรแกรมของเขาสามารถทำงานได้ในระดับที่ดี...แต่ยังต้องพัฒนาต่อไปเพื่อ แข่งขันกับการแข่งขันเชิงปฏิบัติการในสมรภูมิจริง กับเครื่องของพวกคุณ
คนที่สาม ... อาจเป็นคุณที่จะสร้างชื่อและความสามารถผ่าน Web 2.0 ด้วยการใช้เวลาว่างเป็น Bloger เพื่อเขียนทางแก้ไข หรือโปรแกรมฆ่าไวรัสผ่านเวปไซด์เพื่อให้เห็นกันไปเลยว่า "ใครจะอยู่หรือจะไป" ระหว่างนักฆ่าไวรัสและนักเขียนไวรัส แม้สงครามนี้จะยาวนานตราบสิ้นสงคราม แต่ชื่อและเกียรติประวัติของพวกคุณจะคงอยู่ต่อไป...ผู้เขียนหวังว่าหนังสือ เล่มนี้...จะทำให้คนที่เล่นอินเตอร์เน็ตเพื่อแกล้งชาวบ้าน หรือนักเขียนไวรัส จะกลับตัวและหันมาสื่อสารข้อมูลที่เป็นเชิงสร้างสรรให้มากยิ่งขึ้น เพื่อความสงบสุขตราบที่เวลาจะมีให้ได้