كيف يعمل الفيروس

كيف تعمل فيروسات الحاسب

 تعتبر فيروسات الحاسب غامضة ولكنها تجذب انتباهنا , فهي من جهة تبرهن كم نحن معرضون للهجوم , اٍذ يستطيع فيروس مبرمج   اٍحداث أثر مدهش في عالم الانترنت , ومن جهة أخرى يظهر كم أصبحت علاقات الجنس البشري متشابكة ومعقدة . فعلى سبيل المثال كان فيروس ميليسا الذي أصبح حديث العالم في آذار من عام 1999 قوياً جداً الى حد أنه أجبر شركات مثل مايكروسفوفت وغيرها على اٍيقاف أنظمة بريدها الالكتروني بشكل كامل ريثما يتم احتواء خطر ذلك الفيروس . كما كان لفيروس الحب الذي انتشر عام 2000 أثر مدمر , وخاصة اٍذا علمنا أن فيروس ميليسا والحب هما بسيطا التكوين ؟www.tartoos.com

وفي هذا المقال , سنناقش الفيروسات التقليدية والحديثة والمرتبطة بالبريد الالكتروني . على الرغم من أن الفيروسات ستؤوا الى الزوال والتلاشي لكن ربما يطلع علينا شخص بين الآونة والأخرى مبتكراً طريقة جديدة لانتاج فيروس حديد ليحتل مكاناً ينتظره في صفحات الأخبار .

 أنواع الإصابات :www.tartoos.com

يمكن تمييز انواع متنوعة جداً من الإصابات الالكترونية , وأكثرها انتشاراً :

الفيروسات : الفيروس هو برنامج صغير يتطفل على برنامج حقيقي , فمثلاً يمكن أن يدرج الفيروس نفسه في برنامج حقيقي " مثل ملف جداول الكترونية , وفي كل مرة يتم فتح ذلك الملف يبدأ الفيروس بالعمل , وربما أحدث الفيروس دماراً كبيراً لذلك الملف أو أدرج نفسه في برامج أخرى .

 فيروسات البريد الالكتروني :www.tartoos.com

وينشط هذا النوع من الفيروسات في رسائل البريد الالكتروني , وعادة يقوم بتكرار نفسه من خلال اٍرسال نفسه آلياً الى كل عناوين البريد الالكتروني المدرجة في دفتر عناوين الضحية .www.tartoos.com

الديدان : الدودة هي برنامج صغير يستغل شبكات الحاسب والثغرات الأمنية لاستنساخ نفسه حيث تقوم نسخة من الدودة بتفحص الشبكة بحثاً عن جهاز آخر يحتوي ثغرة أمنية لتدخل من خلالها اليه , وعندما تصله تقوم الدودة بالبدء مجدداً بالعملية من الجهاز الأخير , وهكذا ..........

أحصنة طروادة : ( وهي نوع من الفيروسات يتلبس بثوب برامج مفيدة ) : أي ببساطة هي برنامج حاسب يزعم أنه يقوم بعمل مفيد ( كأن يدعى أنه لعبة مثلاً ) ولكنه في الحقيقة يتسبب بالضرر لجهازك عندما تقوم بتشغيله ( مثل قيامه بحذف جميع الملفات من على قرص جهازك الصلب ) غير أن هذا النوع من الفيروسات لايستطيع استنساخ نفسه آلياً .www.tartoos.com

ماهو الفيروس ؟www.tartoos.com

لقد أطلق على فيروسات الحاسب ذلك الاسم لأنها تتشابه في تسببها بالعدوى مع الفيروسات الطبيعية التي تصيب الانسان وتنتقل من شخص لآخر .

اٍذ لابد له من أن يعتلي برنامج آخر أو ملفاً لكي يتسنى له الدخول اليه , وعند بدء تشغيل الفيروس يتمكن من اٍحداث الضرر بالبرامج والوثائق الأخرى .وفي الحقيقة هناك قدر في التشابه بين الفيروس الطبيعي والكومبيوتري  يبرر اٍطلاق التسمية نفسها عليهما . وهناك تشابه آخر أكثر عمقاً فالفيروس الطبيعي ليس كائناً حياً ولكنه كتلة من الحمض النووي المخبأة ضمن غلاف واق , وخلافاً للخلية الحية لا يتوافر لدى الفيروس الطبيعي أي طريقة لاستنساخ نفسه أو لفعل أي شيء آخر من تلقاء نفسه وبدلاً عن ذلك يقوم الفيروس الطبيعي بحقن مكوناته من الحمض النووي الفيروسي الأصل باستغلال آلية عمل الخلية للقيام باستنساخ نفسه .  وفي بعض الحالات تمتلىء الخلية الحية بجسيمات الفيروس الى الحد الذي يجعلها تنفجر محررة الفيروس وفي حالات أخرى تبدأ جسيمات الفيروس بالنمو وهي داخل الخلية ورغم ذلك تبقى الخلية حية .www.tartoos.com

 ماهي الدودة :www.tartoos.com

هي عبارة عن برنامج له القدرة على استنساخ نفسه من جهاز الى آخر , وفي العادة تتجول الديدان وتؤذي الأجهزة الأخرى عن طريق شبكات الكومبيوتر . وفي البداية تكون واحدة ولكنها تتوسع بسرعة لاتصدق , فمثلاً قامت دودة  كود ريد " الخطر الأحمر " بتكرار نفسها أكثر من 250000 مرة في حوالي 9 ساعات حدث ذلك في 19 من تموز يوليو عام 2001 .

الخطر الأحمر :www.tartoos.com

عندما تقوم باستنساخ نفسها فاٍن الديدان تستغل وقت الكومبيوتر وكامل قدرة النقل من خلال شبكة أجهزة الكومبيوتر وغالباً مايكون لها نوايا شريرة من نوع ما , وقد احتل نبأ ظهور دودة تدعى الخطر الأحمر مكاناً مميزاً في صدور عناوين الأخبار في عام 2001 ويتوقع الخبراء أن هذه الدودة باٍمكانها جعل عمل الانترنت يتعرقل على نحو شديد , بحيث تصل البيانات الى مرحلة تتراكم فيها بعضها على بعض الى أن تتوقف عن التدفق بشكل نهائي .www.tartoos.com

الوقاية :www.tartoos.com

تهاجم دودة الخطر الأحمر وويندوز NT 4.0 أو نظام Window Serve 2000 الذي عمل عليه ملقم معلومات IIS 4.0 وIIS 5.0 لمخدمات بيانات الانترنت وقد قامت مايكروسفت باٍصدار ترقيع بسيط يحتل الثغرة الأمنية التي تنفذ من خلالها هذه الدودة . وقد تكمنت هذه الدودة من اٍبطاء حركة السير خلال الانترنت عندما بدأت باستنساخ نفسها ولكن ليس الى الحد الذي كان متوقعاً , فكل نسخة من الدودة تفحص الانترنت بحثاً عن الأجهزة التي تشغل Window NT أو Window 2000 التي لم تثبت رقعة الثغرة الأمنية لها .  وفي كل مرة تجد الدودة ملقماً فقد الحماية الأمنية عندها تقوم الدودة بتوليد نسخة منها وارسالها الى ذلك الملقم , وعندما تصل اليه تبدأ النسخة الجديدة بتفحص الشبكة مجدداً بحثاً عن ملقم آخر لتصيبه واعتماداً على عدد الملقمات غير المحمية تمكنت الدودة من اٍصدار مئات أو آلاف النسخ .www.440in.info

وقد صممت هذه الدودة لتقوم ب 3 أشياء :

1- استنساخ نفسها في أول 20 يوماً من كل شهر .

2- استبدال صفحات Web على الملقم المستهدف بصفحات تعرض عبارة " الموقع مخترق من قبل الصينيين " .

3- الشروع في هجوم منظم يستهدف صفحات الوب لملقم البيت الأبيض الأمريكي في محاولة تسعى الى القضاء عليه .

أما النسخة الأكثر انتشاراً من هذا النوع من الديدان فهو ما يسمى " بالنسخة المعدلة " من دودة " الخطر الأحمر " التي ظهرت أول مرة في 19 / تموز / 2001

كانت الفيروسات نصوص برمجية يتم اٍرفاقها ببرامج مشهورة أو لعبة عالية أو معالج نصوص .

الفيروسات من هذا النوع هي عبارة عن شيفرات برمجية صغيرة تلصق ببرناج حقيقي ولايعمل الفيروس اٍلا بعد البدء بتنفيذ البرنامج الحقيقي اٍذ يقوم الفيروس بتحميل نفسه الى الذاكرة وينظر حوله ليرى ما اٍذا كان باٍمكانه أن يرى أية برامج أخرى على القرص فاٍن وجد أحدها فاٍنه يقوم بتعديلها ليضيف شيفرة الفيروس الى البرنامج الغافل عن ذلك . ومن ثم يقوم الفيروس بتشغيل البرنامج الحقيقي ولايملك المستخدم عندها أية طريقة ليشعر من خلالها الفيروس قد بدأ بالعمل , ففي هذه اللحظة يكون الفيروس قد شرع في عملية تدمير أخرى مصيباً برامج أخرى . www.440in.info

عندما يتم تشغيل هذه البرامج مرة أخرى فاٍنها تصيب بدورها برامج أخرى سليمة وهكذا دواليك ........

اٍذا أعطي أحد البرامج المصابة الى شخص آخر خلال قرص مرن أو تم تحميله الى الانترنت فهذا يعني اٍصابة برامج أخرى وبهذا يكون الفيروس قد انتشر

اٍن العدوى هي الطور الأول فقط من حياة الفيروس , ولو اقتصر أذى الفيروسلت على قيامها بتكرار نفسها لكان مستوى عنفها عرضة للاستخفاف , ولكن ولسوء الحظ فاٍن معظم الفيروسات تدخل في طور آخر ذي طابع هدام ألا وهو " طور الهجوم " . www.440in.info

وهذا الطور يبدأ عندما تقدح شرارة من نوع ما عمله وعندما سيقوم الفيروس بتنفيذ شيء ما تتراوح شدة ضرره بين طباعة نص لا أهمية له على الشاشة ليصل الى مستوى تدمير كل بياناتك . تلك الشرارة القادحة قد تكون تاريخاً محدداً سلفاً أو حداً معيناً يصله عدة مرات استنساخ الفيروس أو شيئاً مشابهاً . ونظراً لتراكم خبرة مطوري الفيروسات فقد ابتكروا حيلاً جديدة تعتمد اٍحداها على تزويد الفيروسات بالقدرة على الارتقاء الى الذاكرة لتبقى هناك تعمل خلف الكواليس طيلة فترة عمل جهاز الكومبيوتر , وهذا يعطي الفيروسات وسيلة أكثر سهولة لتتفرغ لاستنساخ نفسها www.440in.info

وثمة ميزة جديدة أضيفت مؤخراً الى الفيروسات تمكنها من اٍصابة قطاع الإقلاع boot sector من القرص المرن أو الصلب ونظراً لأن هذا القطاع يحتوي على الملفات الأساسية التي يبدأ نظام التشغيل عمله بها ويحتوي على برنامج يعين الحاسب على على كيفية تحميل بقية ملفات النظام وباٍصابة الفيروس لهذا القطاع يضمن لنفسه أن يقوم نظام التشغيل بتشغيله ليتمكن من أن شحن نفسه الى الذاكرة على الفور .www.tartoos.com

تستطيع فيروسات قطاع الإقلاع اٍصابة الأقراص المرنة وتنتشر في أجهزة الحواسب الخاصة انتشار النار في الهشيم حيث يقوم باستعمال تلك الأجهزة عدد كبير من الناس .www.tartoos.com

وبشكل عام لم تعد الفيروسات التنفيذية وفيروسات قطاعات الإقلاع تشكل تهديداً بعد الآن , ويعود هذا الانخفاض في الخطورة الى سببين , السبب الأول : تزايد عدد البرمجيات الأصلية التي تأتي عادة على أقراص ليزرية بسبب حجمها الكبير الذي يتعذر معه استخدام أنواع أخرى من الأقراص المرنة كما كان سائداً في الثمانينات , ونظراً لأن هذه الأقراص غير قابلة للكتابة عليها فاٍن اٍصابتها بالفيروسات مستحيل .

والسبب الثاني : هو أن أنظمة التشغيل بدأت بحماية قطاعات الإقلاع الخاصة بها بعد أن انتشرت الأقراص المرنة المليئة بالفيروسات انتشاراً كبيراً .

وهذا لا يعني أن هذين النوعين من الفيروسات قد اختفيا تماماً ولكن أصبح انتشارهما أكثر صعوبة وبسرعة أقل بكثير مما كان سائداً , ويمكننا أن نسمي ذلك الانكماش الحيوي اٍذا أردنا استخدام تعابير علم الأحياء .

لقد أمكن انتشار تلك الفيروسات فيما مضى بسبب أنظمة التشغيل الضعيفة والبرمجيات الصغيرة التي كانت سائدة في الثمانينات ولكن تلك الأنظمة قد تم عزلها في زاوية ضيقة بسبب العدد الهائل من أنظمة التشغيل المحمية والأقراص الليزرية ذاتية التنفيذ والقابلة للكتابة مرة واحد دون اٍمكاني العبث بمحتواها www.440in.info

www.440in.info

www.440in.info

www.440in.info

www.440in.info

www.440in.info

www.440in.info

www.440in.info

www.440in.info

www.440in.info

www.440in.info

www.440in.info

www.440in.info

www.440in.info

كيف تنتشر الفيروسات :

فيروسات رسائل البريد الالكتروني :

يعتبر هذا النوع من الفيروسات آخر صرعة في عالم فيروسات الكومبيوتر , وقد كان فيروس ميليسا في آذار 1999 مدهشاً وقد انتشر هذا الفيروس في وثائق برنامج Word المرسلة خلال البريد الالكتروني على النحو الآتي :

أحدهم أطلق ذلك الفيروس على أنه وثيقة Word تم تحميلها الى مجموعة نقاش عبر الانترنت , وأي شخص يقوم بتنزيل الملف وفتحه سوف يشعل نار الفيروس وعندها سيقوم الفيروس باٍرسال الملف ( وبداخله الفيروس الكامن ) كملف مرفق لأول 50 شخصاً وضعت عناوين بريدهم الالكتروني في دفتر عناوين الضحية . وتتضمن الرسالة ملاحظة محببة تتضمن اسم المستخدم ما سيوحي للمتلقي أن الرسالة غير مؤذية وبالتالي يقوم بفتح الملف . وكنتيجة لذلك فاٍن الفيروس أسرع الفيروسات انتشاراً . وكما ذكرنا سابقاً فقد أرغم عدداً من الشركات الكبرى على اٍقفال أنظمة بريدها الالكتروني .

كما كان فيروس الحب الذي ظهر في الرابع من أيار عام 2000 أكثر بساطة فهو يحتوي على جزء من الشيفرة كملف مرفق . وعندما ينقر الناس نقراً مزدوجاً على رمز الملف المرفق عندها يسمحون للشيفرة بأن يتم تنفيذها . وعندها تقوم الشيفرة باستنساخ نفسها واٍرسال النسخ المولدة الى كل شخص على لائحة دفتر عناوين الضحية ومن ثم تعود الى الضحية لتجهز على ملفاته وتعمل فيها خراباً . وهذا أبسط مما تحدثه الفيروسات عادة , اٍنه حصان طروادة ويتولى توزيعه البريد الالكتروني أكثر من كونه فيروساً بسيطاً .

نصائح ثمينة للحماية من الفيروسات :

www.tartoos.com

يمكنك أن تقي نفسك ( أي جهازك ) من الفيروسات ببضع خطوات بسيطة :

اٍذا كنت قلقاً فعلاً بشأن الفيروسات التقليدية ( وليست تلك المرتبطة بالبريد الالكتروني ) فاٍن عليك تشغيل نظام تشغيل آمن مثل يونكس أو Windows NT . حيث لايعرف أن هذين النظامين تأثرا بالفيروسات بسبب المزايا الأمنية التي تبقي الفيروسات " وكذلك الزوار البشريين المرغوب بهم " بعيدين عن الوصول الى القرص الصلب لجهازك .

اٍذا كنت تستخدم نظاماً غير آمن فاٍن الحل لتأمين الحماية الآمنة يكمن في شرائك برنامجاً يقي من الفيروسات . لابد أن تتأكد من أن الحماية من الفيروسات المتلبسة بالماكرو " الماكرو هو مجموعة تعليمات تؤتمت عملاً محدداً داخل التطبيقات " هي الخيار المفعل في كل تطبيقات Microsoft. وينبغي ألاَ تشغل الماكرو في تلك التطبيقات قبل أن تعرف ما سيقوم بالضبط , ونظراً لأنه نادر ما يكون اٍضافة الماكرو الى ملفات Word عملاً مبرراً فاٍن سياسة التجنب الكلي للماكرو هي سياسة حكيمة . www.440in.info

وللقيام بذلك اذهب الى القائمة أدوات Tools في Microsoft و Word ومن ثم الى البند خيارات Options في النافذة التي تظهر تأكد من وضع اٍشارة صح على مربع " الحماية من فيروسات الماكرو www.440in.info

وفي حالة فيروس الحب فاٍن وسيلة الحماية الوحيدة منه هي الانضباط الشخصي فاٍنه عليك تجنب النقر المزدوج على الملفات التنفيذية  التي تصل كمرفقات لرسائل البريد الالكتروني . وفي كل الحالات فاٍن الملفات ذوات الامتدادات من أنواع Word Doc و Excel والصور GIF , هي ملفات بيانات ولاتشكل أي خطر ( مع الانتباه الى مشكلة الفيروسات المتلبسة بالماكرو في Word و Excel المذكوره أعلاه ) . التهديد الحقيقي يأتي من ملفات ذوات امتداد مثل EXE COM  أو  VBS وهي قابلة للتنفيذ وقادرة على اٍلحاق أي نوع من الأذى حال تنفيذها فبتشغيلها قد أعطيتها حق الوصول الكامل لجهازك . الدفاع الوحيد هو بألا تشغل أبداً أي ملفات تنفيذية تأتيك كمرفقات برسائل البريد الاكتروني .

وباتباعك تلك الخطوات تبقي نفسك في منأى عن أذى الفيروسات .

الفيروس هو من صنع البشر فعلى أحدهم أن يقوم بكتابة الشيفرة المبرمجة ويختبرها ليتأكد من أنها تنتشر على النحو المطلوب ومن ثم يطلق ذلك الفيروس . وشخص آخر يقوم أيضاً بتصميم دور الهجوم لدى الفيروس سواء كانت رسالة سخيفة أو تعليمات مدمرة لقرص صلب كامل . فلم يقوم الناس بفعل ذلك ؟

هناك ثلاثة أسباب على الأقل :

السبب الأول : هو الواقع النفسي الذي يحمل المخربين أصحاب النزعات التدميرية على ارتكاب أفعالهم . لم يقم أحدهم بكسر نافذة سيارة شخص آخر أو يكتب على الجدران أو يضرم النار في غابة جميلة ؟؟ تلك التصرفات بالنسبة لهؤلاء تعتبر مثيرة فاٍذا تسنى لبعض أولئك الأشخاص أن يتعلموا برمجة الكومبيوتر فسيقومون بتفريغ طاقاتهم في اٍنشاء الفيروسات التدميرية .www.tartoos.com

السبب الثاني : هو أن بعض الناس يستمتعون بمشاهدة الأشياء تتدمر فكثير من الناس يفتنون بأشياء مثل الانفجارات وتحطم السيارات , فعندما كان كل واحد منا صغيراً فلابد أنه صادف طفلاً جاراً له قد تعلم كيف يصنع البارود ومن ثم أخذ يصنع قنابل أكبر وأكبر حتى ضاق ذرعاً بذلك وانتهى الى اٍيذاء نفسه . واٍن اٍنشاء فيروس ينتشر بسرعة هو مشابه قليلاً لذلك انه ينشىء قنبلة داخل الحاسب وكلما ازداد عدد الحواسب المصابة كلما ازدادت متعته وهو يرى الانفجار .

يعود السبب الثالث : الى رغبة التفاخر أو الإثارة التي تنجم عنه من نوع اعتلاء قمة اٍيفيريست وبما أن الجبل هناك فثمة شخص ما عليه أن يتسلقه فاٍذا كنت ذلك النوع من الناس وكنت مبرمجاً ووقعت عينك على ثغرة أمنية يمكن استغلالها قبل أن يسبقك الآخرون الى النصر . ستقول في نفسك : < أنا متأكد أنه يمكنني أن أخبر شخصاً ما بتلك الثغرة لكن أليس من الأفضل أن أريهم الثغرة بنفسي ؟؟؟ > تلك الطريقة من التفكير تعود الى اٍنتاج الكثير من الفيروسات .

وبالطبع فاٍن معظم مؤلفي الفيروسات يفوتهم أنهم يتسببون بضرر حقيقي لأشخاص حقيقيين ولإبداعاتهم الشخصية . فاٍن تدمير كل البيانات على القرص الصلب لأحد الناس يعتبر حقاً ضرراً حقيقياً . وكذلك فاٍن اٍجبار شخص ما في اٍحدى الشركات على اٍهدار آلاف الساعات في عمليات اٍزالة آثار الاعتداء هو ضرر حقيقي , وحتى رسالة سخيفة تعتبر أذى لأنها ستجبر الشخص على اٍضاعة وقت ما للقيام باٍزالتها . ولذلك فاٍن الحل الأمثل هو بالتعامل بمزيد من الصرامة في عقاب أولئك الأشخاص الذين يؤلفون الفيروسات .www.tartoos.com

تاريخ المشكلة :

انتشرت الفيروسات التقليدية كثيراً في أواخر الثمانينات ومن ثم تعدلت لتستهدف أجهزة الحواسب الشخصية بسبب عدة عوامل :

العامل الأول : هو انتشار أجهزة الحاسب الشخصية قبل الثمانينات لم تكن أجهزة الحواسب المنزلية موجودة أو أنها كانت مجرد أدوات ألعاب , فيما كانت الحواسب الحقيقية نادرة وكانت مقفلة بعيدة عن متناول الجمهور مخصصة " للخبراء فقط " وخلال الثمانينات ولازياد شعبية الحواسب الشخصية من نوع IBM التي تم طرحها في 1982 وأجهزة أبل ماكنتوش التي تم طرحها في 1984 ازداد انتشار الأجهزة الحقيقية في قطاع الأعمال والاستخدام المنزلي على حد سواء . وفي أواخر الثمانينات تعمم انتشارها في الأعمال والمنازل والجامعات .www.tartoos.com

جذور المشكلة :

العامل الثاني : كان استخدام لوحات اٍعلانات الحاسب فقد تمكن الناس من الاتصال بلوحات الإعلانات عبر بطاقات المودم وتنزيل برامج مختلفة الأنواع . وصار للألعاب شعبية عامة وكذلك لمعالجات النصوص والجداول الالكترونية البسيطة , وقد مهدت اللوحات الإعلانية السبيل الى ظهور فيروسات حصان طروادة . وهي برامج ظاهرها جذاب جداً ومشوق عندما تقرأ عنها يحملك على تنزيلها وفور تشغيلك لها فاٍنها مع الأسف تقوم بعمل غير لطيف مثل حذف جميع الملفات على قرصك الصلب , قتنقلب اللعبة العذبة الى مسح كامل لحاسبك . ولكن تهديدات هذه الفيروسات لايدوم طويلاً لأنها تكتشف بسهولة فاٍما أن يقوم صاحب لوحة الإعلانات بحذف ملفها أو أن الناس ترسل رسائل تحذيرية لبعضها بعضاً محذرة منها .www.tartoos.com

العامل الثالث : الذي يقود الى اٍنشاء الفيروسات هو الأقراص المرنة ففي الثمانينات كانت البرامج صغيرة فقد كان يمكنك حشر نظام تشغيل مع معالج نصوص مع بعض البرامج الأخرى وبضعة ملفات في قرص مرن واحد أو اثنين . وكثير من أجهزة الكومبيوتر لم يكن بداخلها أقراص ثابتة تغنيك عن اٍدخال أقراص مرنة لتقوم بتشغيل نظام التشغيل وكل البرامج الملحقة .

وقد تم استغلال تلك الحقائق الثلاث لإنشاء البرامج الأولى التي تقوم باستنساخ نفسها .