ตั้งหัวข้อออกจะน่ากลัวสักหน่อยนะครับ พอดีผมเห็น logfile ที่เครื่อง server ของผมว่าเจอไวรัส Trojan-Spy.HTML.Fraud.gen ซึ่งไปอยู่ใน Temp ของเครื่อง ก็ตกใจหนะครับเพราะมีลูกค้าเช่าพื้นที่ทำเวบหลายราย สั่ง scan virus ทั้งเครื่องก็ไม่เจอ หาไปหามาอยู่นานจนค้นพบว่าถ้าเชคเมล์(แค่ผ่านเวบเมล์)ของลูกค้ารายหนึ่งแม้ไม่ได้เปิดเมล์มาอ่าน แต่ log ก็จะฟ้องว่ามีไวรัส เลยตอบสมมุติฐานด้วยการย้ายไฟล์จดหมายออกจากตู้ทั้งหมด แล้ว refresh webmail ผลก็คือ log ไฟล์ไม่ฟ้องว่าพบไวรัส

ตายหละสิเมล์ในตู้จม.ของลูกค้ารายนี้มีไฟล์กว่า 560 ไฟล์ จะรู้ได้ไงว่าไฟล์ไหนมีปัญหา ผมจึงลองทะยอยเอาไฟล์ mail กลับเข้าตู้เค้าทีละไฟล์ แล้ว refresh webmail ใหม่ต่อการนำไฟล์กลับเข้าไปที่ตู้จม. ผ่านไป 120 กว่าไฟล์ได้ก็ไปเจอไฟล์ ตาม link นี้ (ผมเปลี่ยนให้มันเป็น txt ไฟล์นะครับ แต่เดิมมันนามสกุล .mai) http://www.medeemedia.com/test.txt

ตอนเปิดผมเปิดด้วย notepad ก็ดูแล้ว code มันธรรมดามากๆ เลยสงสัย แกล้งเปลี่ยนนามสกุลมันเป็น .eml ดูผลก็คือ kaspersky ฟ้องทันทีว่าเป็น Trojan-Spy.HTML.Fraud.gen ก็ชัดเลยทีนี้

ปัญหาคือมันเป็นไวรัสได้อย่างไรครับ ทั้งๆที่มันดูธรรมดามากๆ แล้วเราจะปกป้อง server เราได้อย่างไรครับ เพราะ scan ก็ไม่เจอ จนกว่าโปรแกรมที่สามารถอ่าน code ของมันได้แล้วติด

ใครมีประสบการณ์เรื่องแบบนี้อยากให้เล่าสู่กันฟังบ้างครับ เผื่อผมจะได้วิธีค้นหาที่ไม่ต้องใช้ความอดทนขนาดนี้

ขอบคุณครับ