الفيروسات

أكيد سامعين فيها, فبين فترة و أخرى يأتينا أحد الأصحاب ليقول: انتبه... في فيروس جديد طالع هاليومين, لا تفتح الإيميل, لا تأخذ دسكات ... وغيرها من التصريحات المخيفة. أو نسمع في الأخبار عن ظهور فيروس جديد سبب خسائر بملاين الدولارات... إذا وصلتك رسالة عنوانها.. "I love You"... احذفها على طول, ولا تفكر تفتحها.... قهر ممكن تكون صحيحه... تقريبا إذا ما كنت غلطان, كل أسبوع يطلع فيروس, فيروسين ويمكن أكثر... لكن مو كلها تنجح في الانتشار, والحصول على الشهرة. أما لضعف فيها ... أو لأنها لا يملك القوه على الانتشار السريع. سأحاول في هد الموضوع إعطاء فكره عنها... ولكم كل الفائدة إنشاء الله.

 

سنبدأ بمدخل على ما يهدد أمان أجهزتنا ... ثم تعريف لها و ذكر بعض أنواعها ... طرق انتشارها و كيفيه الوقاية منها ... و أخيرا طرق كشفها و التي تتبعها البرامج المضادة للفيروسات.

 

مدخل

في البداية مصطلح فيروس لا يشمل جميع البرامج التي تهدد أجهزتنا, و لكنه يشمل قسم كبير منها. المصطلح الذي يشملها كلها هو البرامج الخبيثة أو الماكرة... "Malicious Software" اختصارها "Malware". و هد المصطلح يشمل جميع البرامج التي تعمل داخل جهازك بدون إذنك و تقوم بأعمال مختلفة, تخريب ملفات, إرسال معلومات, تسجيل و تعقب خطواتك, أو حتى إن لم تقوم بأي شيء فهي تضيع و تستخدم بعض مقدرات جهازك(وقت المعالج, مساحات في الذاكرة أو القرص الصلب و غيرها....) بدون إذنك أو علمك حتى. و يندرج تحت هد المصطلح الفيروسات "Viruses", الدود "Worms", أحصنه الطرواده "Trojan Horses", الأبواب الخلفية, أو المنافذ الخلفية "Trap Doors".

الفيروس "Viruses"

برنامج طفيلي (ليس دائما) له القدرة على إنتاج نفسه(التوالد) و الانتقال من جهاز الى أخر أومن برنامج الى أخر. و يلصق الفيروس أو يدمج نفسه ببرنامج إما ليعطله, يخرب و يغير طريقه عمله أو ليستخدمه كوسيلة للانتقال الى برامج أخرى. مثل الفيروس في الطبيعة تماما. لكن بعض الفيروسات لها القدرة على العيش من دون تطفل, و ذلك بتقمص "إذا صح التعبير" شخصيه برامج أخرى. و ذلك باستخدام نفس أسم البرنامج و لكن بتغير امتداده ( مثلا يغير الامتداد من EXE الى COM).

طرق انتقال الفيروسات و انتشارها

أولا كيف تنتقل من برنامج إلى أخر داخل الجهاز:

عن طرق الملفات المصابة: كما أشير سابقا, الفيروس هو برنامج يلصق أو يدمج نفسه ببرنامج آخر, (مثلا الورد أو الأكسل... في الحقيقة لا يمكن استثناء أي برنامج). و عند تشغيلنا البرنامج المصاب يشتغل الفيروس معه ليستقر في الذاكرة, لينقل عدواه إلى جميع البرامج الموجودة في الذاكرة أو ما يمكنه معرفة اسمه و موقعه.

ثانيا كيفيه انتقال الفيروسات من جهاز لآخر:

1.     الأقراص المصابة: و يتم ذلك عن طريق قطاعات التشغيل (أو النهوض) المصابة "Infected Boot Sector",( قطاع التشغيلBoot sector هو أول قطاع يقرأه الجهاز عند التشغيل(, عند تشغيل الجهاز من أي قرص مصاب, سواء  كان قرص صلب أو مرن, يشتغل الفيروس ليثبت نفسه داخل الجهاز. و يبقى نشطا داخل الذاكرة, لينشر نفسه داخل الجهاز, بين البرامج, أو ليصيب قطاعات التشغيل في جميع الأقراص التي يراها. بمعنى متى ما أدخلت قرص مرن داخل الجهاز, سيشتغل الفيروس مباشرة و ينقل العدوى له. و لتفادي هد النوع من الفيروسات ممكن إقفال القرص المرن قبل و استخدامه في أجهزه الغير إذا كان سيستخدم للقراءة فقط, و التأكد من عدم وجود قرص مرن في الجهاز عند تشغيله.

 

" في الوضع الافتراضي يقرأ الكمبيوتر القرص المرن قبل القرص الصلب عند تشغيل... مما يساعد هد الفيروس على نشر نفسه إذا نسي المستخدم قرص مرن في جهازه عند التشغيل... و يمكن تغير هد الوضع من إعدادات البوس."

 

2.    الملفات المصابة "Infected Files": و تنتقل إما بـ:

·        تنقل ملف مصاب بفيروس (برنامج) من جهاز الى أخر, و تشغيله فيه. و يتم النقل بعده وسائل, كتبادل الأقراص, و إنزال ملفات من الإيميل أو الإنترنت. و لأخد الحيطة تأكد من فحص أي ملف يحمل برنامج تنقله الى جهازك, أغلب الملفات التي تحمل برامج لها أحد الإمدادات التالية: EXE / COM/ SYS/ DRV/ OVL/ CPL/ DLL/ SCR.  وأكثرها شيوعا هو EXE & COM. 

·        نقل ملفات معلومات و التي تحتوي على ماكرو "Macro" و عادة تستخدم في منتجات مايكروسوفت المكتبية, الورد, الأكسل البوربوينت و غيرها ولها الإمدادات مختلفة مثل , DOC/ XLS/ XL/ PPT/ PPS/... عموما بتعرفها لأن أيقونتها تشير الى أحد برامج ما يكر وسوفت. و لأخد الحيطة منها :

تأكد من تعطيل وحدات الماكرو في برامجك أو وضعها على أعلى درجات الأمان. لتعطيل وحدات الماكرو عندك: أدخل على البرنامج (ورد و أكسل, بوربوينت, أتلوك, أقصص), ثم اذهب الى أدوات--> ماكرو --> أمان, 䃠أختار منها أعلى درجات الأمان. أو تأكد من فحص أي ملف من يصلك من هذه الأنواع قبل تشغيله.

 

الدودة "Worm":

 الدودة هي برنامج كامل, لها القدرة على العمل دون الحاجة الى إلصاق أو دمج نفسها مع برنامج آخر, أو الى تقمص شخصيه برنامج آخر كما يفعل الفيروس. و تستطيع الدودة استغلال مصادر الأجهزة والشبكات لإنتاج نفسها (تكاثر) بشكل مستمر, والانتقال من جهاز الى أخر لتنفيذ أهدافها الخبيثة. و هي الأخطر و الأسرع انتشارا هده الأيام, فهي لا تعتمد على أخطاء أو هفوات من المستخدم لتنتشر. فهي تنشر نفسها ذاتيا بعده طرق مثل إرسال نفسها بالإيميل, التسلل الى غرف الشات أو استهداف الملفات المشتركة على الشبكات. و أشهر دوده خرجت في السنوات السابقة هي ميليسا "Melissa" في العام 2000 التي استخدمت الإيميل لإرسال رسالة بعنوان "I love You" لتنتشر.

حصان الطرواده "Trojan Horse":

هد النوع يأتي على برنامج محترم و مفيد, وأنت تركبه أو تشغله في جهازك على أنه كذلك, لكنه في الحقيقة, يقوم بأعمال خبيثة من دون علمك مثلا إعطاء الفرصة لطرف أخر بالعمل على جهازك دون علمك. وهو يختلف عن النوعين السابقين كونه لا يملك القدرة على التكاثر.  هد الاسم له علاقة واضحة بطريقه عملها, فحصان الطرواده, هو حصان خبشي أختبئ فيه الجنود و أدخل كهدية الى مدينه طروادة المحصنة, و بعد هدوء الوضع من حول الجنود خرجوا من الحصان ليحتلوا المدينة... في مسلسل عرضها, متأكد بعضكم شاهده. و يمكن أن يصل إليك بعده طرق, مثلا يعطيك أحدهم ملف, برنامج أو حافظ شاشة, بعد أن يدمج معه برنامج يساعده على الوصول الى جهازك. عند تشغيلك هد الملف يثبت البرنامج نفسه في جهازك ويعمل كخادم, ليستطيع الاتصال بجهازك والدخول عليه و استخدامه كما تستخدمه أنت (تشغيل برامج, طباعه, تسجيل ما تكتب بلوحه المفاتيح, قراءه ملفات أو حذفها....إلخ). و عاده تستخدم هده الملفات مع البرامج المشتركة المجانية "Shareware" التي تثبت ملفات في أجهزتنا لأخد معلومات عن كيفيه استخدامنا الشبكه و المواقع التي نتردد عليها, لبيع هده المعلومات لشركات أخرى بغرض الربح المادي كما يدّعون و يمكن التغلب على مثل هده البرامج باستخدام برامج أزاله ملفات و برامج التجسس مثل "Ad-aware", أو استخدام الجدران النارية Firewall" والتي ستعطيك إنذار عند محاولة أي برنامج استخدام اتصالك بالشبكة لإرسال أو استقبال معلومات.

الأبواب الخلفية, أو المنافذ الخلفية "Trap Door":

 إذا كانت الأنواع السابقة خاضعة في استخدامها للمستخدم العادي, إما لإنتاجها, نشرها, أو استخدامها. فأن الأبواب الخلفية عاده ينتجها و يستخدمها مطورو البرامج. لتمكنهم من الدخول على أجهزه الغير بغرض التجسس و الحصول على معلومات, أو حتى للكسب المادي غير المشروع, و أشهر حادثه في هد المجال حدثت في بريطانيا حيث قام أحد المبرمجين الدين يعملون على برنامج لصالح أحد البنوك, بفتح حساب سري و تحويل الكسور في المعاملات الى ذلك الحساب, يعني معامله ب 12.154 يدخل منها 0.054 في حسابه, و آلاف المعاملات ينجزها مثل هد البنك, يعني دخل ملاين قبل لا يكتشفوه. و طرق استخدامها أما بوضع ثغرات في البرامج لا يعلم بها سوى المطورين لها كما أشرنا سابقا, أو بنشر بعض أدوات البرمجة مثل الـ"Compiler" و هو برنامج يحتاجه أي مبرمج لإتمام برنامجه. برنامج مفيد ولا يمكن لأي مبرمج أن يستغني عنه لكنهم يعدلونه ليضيف عناصر خبيثة داخل البرامج التي تحرر بواسطته, لتمكن مطوره من الوصل الى أجهزه الغير. و هد النوع لا يمكن لبرامج الفيروسات اكتشافه, و لكنه يتطلب تحليل البرنامج أو النظام لمعرفة إذا كان فيه منفذ خلفي أو لا, و لهد اكتشاف مثل هده الثغرات صعب ويحتاج الى كفاءه عالية.

 

باختصار كيف تعمل برامج الفيروسات؟

تعمل برامج الفيروسات بعده طرق, نذكر منها التالي:

1)    المسح "Scanning": يمسح البرنامج الذاكرة و الأقراص بحثا عن ما يسمى بالبصمة, لكل فيروس بصمة مختلقه عن الآخر ولهد نحتاج الى تحديث هده البرامج  لإضافة بصمات الفيروسات الجديدة الى قاعدة البيانات في لديه. تنتج هده العملية تقريرا عن الملفات المصابة ولكنها لا تمنع حدوثها ولا تخلصنا منها.

2)    المعالجة أو إزالة الإصابة "Disinfection": تقوم هده العملية بفصل الفيروسات عن الملفات المصابة, لكنها في العادة تعمل أضرار طفيفة على الملف الأصلي, كون الفيروس تغلغل فيه, فلا يمكن فصله بسهوله, و لهد ينصح باستعادة الملفات الأصلية بعد المعالجة إذا أمكن.

3)    المراقيب "Monitors": تتواجد هده البرامج في الذاكرة, و تراقب جميع العمليات, والطلبات الصادرة من البرامج لاستخدام المصادر (الذاكرة, الشبكه, أو أجهزه التخزين), مثلا تراقب عمليات الكتابة الى القرص الصلب, أو طلبات الإرسال عبر الشبكه, أو تثبيت و تسجيل برامج داخل نظام التشغيل, و تحذر المستخدم برسائل فوريه تسأله عن أي عمليه يشك فيها البرنامج  لتأخذ إذنا بالمتابعة أو إلغاء العملية. صحيح الرسائل تكون مزعجه في كثير من الأحيان, لكن أخذها في عين الاعتبار يحمي جهازك.

4)    التلقيح "Inoculation": يشابه كثيرا لعمليه التلقيح في الحقيقة, فنحن نأخذ اللقاحات ضد الفيروسات  لتقويه المناعة ضدها عندما تدخل أجسامنا. فهده العملية تنشئ مناعة في جهازنا ضد الفيروسات بإضافة معلومات الى الملفات لإيهام الفيروس أن الملف مصاب, حتى لا يقترب منه.

5)    فحص السلامة أو الأمان "Integrity Checker": تقوم هده العملية في البداية عند التثبيت بإصدار رقم أو شفره "Code" لكل ملف في الجهاز وتخزينه في قاعدة بيانات, و عند الفحص تقوم بمقارنه الشفرة المخزنة بشفرة تستخرج حال الفحص, وأي اختلاف بينهما يدل على الإصابة. هده الطريقة ممكن أن تكتشف الفيروس و حتى الجديد منها, لكن لا يمكنها تحديد نوعه.

 

برامج الفيروسات لا يمكن أن تعتمد على طريقه واحدة و لكنها تستخدم أكثر من طريقه لتوفير الحماية المرجوة من المستخدم.

 

و أخيرا, أتمنى أن أكون فدتكم بهد الموضوع, لا أعتقد أن أخبار الفيروسات ستخيفك بعد اليوم, لأنك تقدر تأخذ الحيطة المناسبة. شخصيا أركب برنامج الفيروسات إذا حسيت أن في جهازي فيروس, لعده أسباب, لأني أعتبرها مزعجه, و ثانيا جهازي, لك عليه. سرعته 300 الله يعطيني و أشتري غيره.... صحيح سرعته 300 بس قوي ما فيه زيه,,, نمدحه عن لا يزعل.

حســين 1/4/2003.