ما هو الفيروس والبرمجيات الخبيثة ؟

الفيروس هو برنامج خبيث (malware) عندما يتم تفعيله يتناسخ بحيث يضاعف أعداده إلى ما لا نهاية إذا لم يتم كشفه أو محوه ويربط نفسه ببرنامج آخر تنفيذى أو يتحكم فى برامج الحماية أو البرامج الأساسية فى الجهاز وقد صُنعَ عمداً بغرض تغيير خصائص الملفات التي يصيبها لتقوم بتنفيذ بعض الأوامر إما بالإزالة أو التعديل أو التخريب وما يشبهها من عمليات, ولا يستطيع الفيروس نسخ نفسه إلا بعد أن يُنَّشَطَ كما أنه لا يستطيع التناسخ إلا فى البيئةِ المناسبةِ له (أنظمة التشغيل المختلفة). وبعض أنواع البرامج الخبيثة تتم كتابتها بواسطة مبرمجين محترفين بغرض إلحاق الضرر بحاسب آخر، أو السيطرة عليه أو سرقة بيانات مهمة،

ويتصف فيروس الحاسب بأنه :

1- برنامج قادر على التناسخ (Replication) والإنتشار.

2- يربط نفسه بنظام آخر يسمى الحاضن (Host).

3- لا يمكن أن تنشأ الفيروسات من تلقاء نفسها داخل الحاسب أى أنها ليست كالفيروسات التى تصيب الإنسان وإنما تنشأ فقط إذا تم برمجتها.

– ومن أنواع البرامج الخبيثة برنامج يسمى دودة الحاسب (COMPUTER WORM) وهى تشارك الفيروس فى بعض الخصائص مثل قدرتها على التضاعف (Self-replicating) إلا أنها تختلف عنه فى أن تضاعفها لا يعتمد على إرتباطها ببرنامج تنفيذى مثل الفيروس [إذ إنَّ الفيروس يرتبط ببرنامج تنفيذى وعند تشغيل هذا البرنامج يتضاعف الفيروس بداخله وينتشر فى الجهاز] ومن خصائص دودة الحاسب أيضاً أنها يمكن أن تنتقل من حاسوبٍ مصاب لآخر سليم عبر شبكة الإنترنت خاصة إذا كانت من نوع
(Home Wireless Network) وبالتحديد إذا كانت خاصية المشاركة (SHARING) مفعلة عن طريق ال(Home Group).

– ومن الأمثلة أيضاً على البرمجيات الخبيثة برامج ال(Rootkit) وتعتبر الروت كيت من البرامج الخبيثة والخطيرة لما يمكنها أن تفعله بسرية تامة وإمكانية تفعيلها عن بعد وهذا يدل على إحترافية كاتبى هذه البرمجيات، ولهذا يجب تحديث مضاد الفيروسات ليكون فى قاعدة بياناته (DataBase) أحدث المعلومات فيما يخص الروتكيت لإجادها عند القيام بالفحص في جهاز الحاسب رغم صعوبة العثور عليها.

– النوع الرابع من أنواع البرمجيات الخبيثة يطلق عليه حصان طروادة (Trojan Horse) وهو يقوم ببعض المهام الحميدة فيما يبدو للمستخدم ولكنه ينفذ سراً بعض المهام الخبيثة.

– النوع الخامس من أنواع البرمجيات الخبيثة يطلق عليه الباب الخلفى (Backdoor) وهو يقوم بجمع المعلومات السرية المُخزَّنة على الجهاز المصاب, كما أنه يسمح لقراصنة الحاسوب (Hackers) بتشغيل برامج خبيثة أخرى من شبكة الإنترنت الخاصة بالجهاز الحاضن لتقوم بشنِّ هجماتٍ أخرى. وبعض المبرمجين يصممون “الباب الخلفى” لأغراض هامة كما فى حالة إذا تم إختراق السرفر (Server) الخاص بهم فيستطيعون عن طريق “الباب الخلفى” الدخول إلى السرفر وإعادته لهم ثانيةً.

– النوع السادس من أنواع البرمجيات الخبيثة يطلق عليه الأرنب (Rabbit) نظراً لأن هذا الحيوان سريع التكاثر فكذلك هذا البرنامج الخبيث سريع التكاثر أيضاً وهناك نوعين منه, النوع الأول يقوم بإستهلاك موارد النظام (HARDWARE) عن طريق خلق عمليات جديدة لا مُتناهية وبالتالى يصبح الجهاز بطيئاً ويكاد يكون غير قابلٍ للإستخدام. والنوع الثانى شبيه بدودة الحاسب إذ إنَّه يستطيع التَنَّقُلُ عبر شبكة الإنترنت من جهاز إلى جهاز ولكنه يحذف النسخة الأصلية (الأم) منه بعد تمام عملية النسخ إلى الجهاز الجديد ليتبقى فى النهاية نسخة واحدة منه فى الشبكة.

– النوع السابع من أنواع البرمجيات الخبيثة يطلق عليه برامج التجسس (Spyware) وهى البرامج التى تقوم بجمع المعلومات الدقيقة من جهاز الضحية وتنقلها إلى الجاسوس (السارق) والمعلومات المنقولة تشمل :-

1- الإسم وكلمة السر الخاصة بالمستخدم.

2- البريد الإلكترونى وكلمة السر الخاصه به.

3- الحسابات البنكية وأرقام بطاقات الإئتمان المختلقة.

4- تراخيص البرامج لتسهيل عملية قرصنتها مثل الSERIAL NUMBER الخاص بالويندوز أو ببرنامج معين.

– النوع الثامن يطلق عليه Adware وهو إختصار لجملة : Advertising Supported Software وتعنى البرنامج الداعم للإعلانات وهو يتشابه مع برامج التجسس (Spyware) فى أن كلاهما يجمع المعلومات عن الضحية إلا أنه يختلف عنها فى أنه يركز أكثر على الناحية التسويقية لهذا قد يطفو على سطح الإعلانات التى نشاهدها على الإنترنت أو يعيد توجيه متصفح الإنترنت الخاص بالمستخدم إلى مواقع معينة على الشبكة. وقد يظهر لك هذا البرنامج الخبيث (Adware) فى صورة إعلان شاذ وغريب لا تستسيغه على الإطلاق مثل : إضغط هنا لتربح مليون دولار أو حمل هذا البرنامج مجاناً أو لقد تم إختيارك للحصول على Tablet أو جهاز كمبيوتر مجانى وغيرها من العروض الدعائية التى تضرك ولا تنفعك.

 

*ملحوظة* برامج الAdware لا تستطيع نسخ نفسها ذاتياً مثل الفيروسات والديدان.

– وهناك مصطلح يطلق على أجهزة الحاسب التى تم إختراقها يسمى (

Zombie Computers) نظراً لأن جهاز الكمبيوتر عندما يتم إختراقه يكون حاله أشبه بحال المحصورِ بين الحياة والموت فالجهاز المصاب الآن ليس ملكاً تماماً لصاحبه الأصلى وكذلك ليس ملكاً للمتجسس أو السارق تماماً ويُستخدم هذا الجهاز المُختَرَق (Zombie Computer) فى :-

1- نشر رسائل البريد الإلكترونى المحتوية على روابط خبيثة (Disguised Links) قد تقودك إلى مواقع تحتوى على Malware أو قد تكون ضارة بحد ذاتها.

2- يُستخدم على نطاق واسع فى هجمات الحرمان من الخدمات (Denial-of-service attacks).

– وهناك مصطلح يسمى (Zero-Day Attack) ويعنى الهجوم الفورى ويشير إلى وجود ثغرة أمنية في برنامج معين مثل متصفح إنترنت (Browser) أو نظام تشغيل معين (Operating System) والتي لم يتم إكتشافها بعد من قِبَلِ صانع البرنامج (Developer), وهذا يعني أن الثغرة الأمنية لم تُعرف بعدُ جِهَارًا بين أوساط الناس، ولكن قد يكون هناك من يعلم بوجودها من قراصنة الحواسيب (Hackers) والذين لا يترددون فى إستغلاها خِفيةً. وبما أن هذه الثغرة الأمنية لم يتم إكتشافها بعدُ من قِبَلِ مطورى البرنامج وشركات مكافحة الفيروسات، فلا يوجد (Patch) متاح لها حتى الآن لإصلاحها، وعلى الرغم من ذلك فإن برامج مكافحة الفيروسات في بعض الأحيان تستطيع الكشف عن البرمجيات الخبيثة التى يدسها قراصنة الحواسيب بين ثنايا تلك الثغرة الأمنية بإستخدام التحليل المتقدم (Heuristic analysis).

– والمصطلح المشابه للمصطلح السابق ذكره يسمى الهجوم الإستغلالى (Zero-day exploit) وهو يشير إلى الشفرة (code) التي يستخدمها المهاجمون (Hackers) للإستفادة من الثغرة الأمنية فى برنامج معين, إذ إنهم يستخدمون تلك الشفرة فى التسلل إلى البرنامج من خلال الثغرة وزرع فيروس أو حصان طروادة وغيرها من أنواع البرامج الخبيثة. والأمر أشبه باللص الذى يحاول الدخول إلى منزل من خلال نافذة مكسورة أو مفتوحة.

– من أشهر أنواع البرمجيات الخبيثة التى تستغل ثغرات (Zero-Day) :

1- دودة (Stuxnet) التي إستهدفت أجهزة الكمبيوتر في مصنع تخصيب اليورانيوم الإيراني في نطنز {

مدينة إيرانية تقع في أصفهان وسط إيران} وإستغلت هذه الدودة خمسة ثغرات أمنية (zero-day exploits) موجودة فى أنظمة التشغيل الخاصة بتلك الحواسيب. لكن عملياً يمكننا أن نعتبر أن عدد الثغرات الأمنية التى نجحت دودة (Stuxnet) من خلالها فى إختراق أنظمة التشغيل هو أربع ثغرات أمنية فقط نظراً لأن مايكروسوفت إكتشفت إحدى هذه الثغرات وقامت بإصلاحها قبل أن يتمكن الْمُعْتَدُونَ (Attackers) من تفعيل شفرة الدودة.

2- هجمات (Aurora) في عام 2010 والتى قام بها فوجٌ من قراصنة الحواسيب الصينيين حيث قاموا بإختراق أنظمة Google، وAdobe، والعديد من الشركات الأخرى بإستخدام ثغرات (zero-day) الموجودة في العديد من إصدارات متصفح Internet Explorer.

3- إختراق شركة RSA الأمريكية الذى تم عن طريق الفريق الصينى السابق ذكره (فى الغالب) عن طريق ثغرة (Zero-Day) موجودة فى برنامج Adobe Flash player.



*آليات المراوغة والتخفى لدى الفيروسات*

– تستخدم الفيروسات وسائل مختلفة لتضليل المستخدمين. فبعض الفيروسات القديمة، وخاصة على منصة MS-DOS، تتأكد من أن
“تاريخ آخر تعديل” أو “last modified” للملف المضيف أو المصاب يبقى على حاله عند إصابة الملف بواسطة الفيروس وهكذا لا
يرتاب المستخدم من جهة الملف ويظن أنه نظيف تماماً ولم يطرأ عليه أى تغيير. وهذه الحيلة إن إنطلت على المستخدم فإنها لا تنطلى
على برنامج مكافحة الفيروسات، إذ إنه يقوم بعمل فحص دورى على التغييرات الملموسة (الحسية أو الفعلية) التى تطرأ على الملفات ولا
يعتمد إعتماداً كلياً على التغييرات النظرية فقط مثل تاريخ تعديل الملف.

– ويمكن لبعض الفيروسات أن تصيب الملفات دون زيادة أحجامها أو إتلافها, وتقوم بذلك عن طريق الكتابة فوق المناطق غير

المستخدَمة من الملفات القابلة للتنفيذ (executable files). وتسمى هذه الفيروسات {بالفيروسات المُتَستِرةُ}. وعلى سبيل المثال،

فإن الفيروس CIH، أو فيروس تشيرنوبيل، يصيب ملفات Portable Executable Files, لأن تلك الملفات بها العديد من الثغرات

الفارغة، وهذا يساعد على ألا يشغل الفيروس الذي يزن 1 كيلو بايت أى حجم زائد من هذه الملفات.

– بعض ديدان الحواسيب تقوم بإيقاف خدمات هامة فى الويندوز مثل WINDOWS UPDATE وتعطيل برامج المكافحة المدمجة فى

الويندوز مثل [Windows Defender – Microsoft Security Essentials] ومن هذه الديدان على سبيل المثال، دودة

كونفيكر (Conficker worm).

*من هذه الآليات : آلية إعتراض طلب القراءة*

– قد يكون هناك بعض برامج مكافحة الفيروسات تستخدم تقنيات مختلفة لمواجهة آليات التخفى لدى الفيروسات، لكن بمجرد أن تحدث

الإصابة فإن أي وسيلة لتنظيف النظام, لا يمكن التعويل عليها.

– بما أن نظام NTFS file system خاص بشركة مايكروسوفت فقط فهذا يعنى أن ملفات مايكروسوفت ويندوز محمية ولا يمكن

الوصول إليها بالنسبة للبرامج المصنوعة من قبل شركات أخرى مثل برنامج مكافحة الفايروسات لذا فلنتخيل أن هناك محادثة تجرى

بين برنامج المكافحة والويندوز كالتالى:

– برنامج المكافحة : أيها الويندوز, أيمكنك أن تتدعنى أقرأ وأتفحص هذا الملف file.dll لأتأكد أنه خالى من الفيروسات ؟

– الويندوز: نعم, على الرغم من أنك أخ غير شقيق (مصنوع من شركة أخرى) إلا أنى أثق بك لأنك رجل صالح, هاك الملف, تفضل,
تم السماح بالدخول.

– برنامج المكافحة: شكراً أيها الويندوز.

أى أن برنامج مكافحة الفيروسات المصنوع من قبل شركة أخرى غير مايكروسوفت

سيحتاج أن يبعث طلب قراءة للملفات التى يريد أن يفحصها إلى الويندوز وتستغل الفيروسات هذه النقطة لصالحها حيث إن بعض

الفيروسات تخدع برامج مكافحة الفيروسات وتعترض طلب القراءة للملف المصاب ثم تقوم بمعالجة طلب القراءة بنفسها حيث تقوم

بتوجيه طلب القراءة لملف آخر نظيف ليقوم برنامج المكافحة بفحصه فيجد أنه نظيف تماماً وبذلك يخفى الفيروس نفسه, ويقوم

الفيروس بهذا الإعتراض عن طريق ما يسمى ب: Code injection أو (حقن ملفات نظام التشغيل) التي من شأنها أن تتعامل

مع طلب القراءة, وهكذا، فإن برنامج مكافحة الفيروسات إما لن يتم منحه الإذن لقراءة الملف المصاب (أى

أن الفيروس بحقنه لملفات النظام يُؤَلِّبُ النظام على برنامج مكافحة الفيروسات ويجعله يرفض طلبه)، أو، سيتم تقديم طلب القراءة لإصدار آخر معافى من نفس الملف.

– الطريقة الوحيدة المُجدية لتجنب تخفي الفيروسات هو الإقلاع (boot) من قرص نظيف, ويمكن بعد ذلك أن تستخدم برامج

المكافحة للتحقق من سلامة ملفات نظام التشغيل, ومن المفيد أيضاً أن معظم برامج المكافحة تعتمد للكشف عن الفيروسات على

بصمات الفيروسات (virus signatures) [وهى تشبه التعرف على الشخص جينياً عن طريق بصمة إصبعه]، أو تستخدم

التحليل المتقدم (Heuristic analysis) [طريقة للكشف عن الفيروسات الخبيثة صعبة الإكتشاف].

*آلية التحول الذاتى*

معظم برامج مكافحة الفيروسات الحديثة تحاول العثور علي الفيروس داخل البرامج العادية عن طريق بصمته (virus signature).

لسوء الحظ فإن الفيروسات لا تمتلك بصمات فريدة من نوعها وثابتة كمثل ما لدى البشر, إذ إن بصمة الفيروس هو مجرد سلسلة من وحدات البايت Bytes

التي يبحث عنها برنامج مكافحة الفيروسات لأنه من المعهود أنها جزءٌ لا يتجزأ من الفيروسات. فإذا وجد برنامج المكافحة مثل هذا النمط في ملف ما، فإنه

سيقوم بتنفيذ إختبارات أخرى للتأكد من أنه قد عثر على الفيروس، وليس مجرد تسلسل عادى من وحدات البايت في ملف ما, وبعض الفيروسات تستخدم تقنيات تجعل إكتشافها

عن طريق البصمات صعباً ولكن ليس مستحيلاً فى كثير من الأحيان, وهذه الفيروسات تغير شفرتها عند كل إصابة جديدة لملف ما. وهكذا، يكون فى كل ملف مصاب بصمة مختلفة من نفس الفيروس.

*آلية التشفير*

 

تلجأ الفيروسات للتهرب من كشف بصماتها إلى إستخدام التشفير البسيط لتشفير جسم الفيروس، تاركةً فقط وحدة التشفير (the encryption module) ومفتاح فك التشفير الثابت (a static cryptographic key) واللذان لا يتغيران أثناء إصابة الملفات

المختلفة, وفي هذه الحالة، برامج المكافحة لا تستطيع كشف الفيروس بإستخدام بصمته، لكن تستطيع الكشف عن مفتاح فك التشفير

الثابت (a static cryptographic key)، وهو الأمر الذى يجعل الكشف غير المباشر للفيروس ممكناً.

* الشفرة متعددة الأشكال/Polymorphic code *

 

شفرة الفيروس متعددة الأشكال تقنية تشكل تهديداً خطيراً لبرامج المكافحة, وهى عبارة عن فيروس

يصيب الملفات بنسخة مشفرة منه، والتى يتم فكها من قبل مفتاح فك التشفير. وفي حالة الفيروسات

متعددة الأشكال، يتم تغيير شفرة الفيروس عند كل إصابة لملف جديد. ولذلك فإن الفيروس متعدد الأشكال

هو برنامج مكتوب بإحترافية شديدة حيث أنه لا يحتوى على الأجزاء الموجودة فى الفيروسات العادية التي

تظل متطابقة بين الإصابات المختلفة للملفات، مما يجعل من الصعب للغاية الكشف المباشر عن

الفيروس باستخدام بصمته لأنها تتغير مع تغير شفرة الفيروس. وبرامج مكافحة الفيروسات تستطيع

الكشف عن الفيروس عن طريق فك تشفيره باستخدام المحاكى (emulator)، أو عن طريق التحليل

النمطى الإحصائي لجسم الفيروس المشفر.

*شفرة التحول/Metamorphic code*

لتجنب الكشف عن طريق المحاكاة (emulation) التى تقوم بها برامج المكافحة الحديثة، تقوم بعض الفيروسات بإعادة كتابة نفسها

تماماً في كل مرة تصيب فيها ملفات جديدة. ويقال للفيروسات التي تستخدم هذه التقنية “متحولة”. ولتفعيل التحول فى الفيروسات، فإنها

تحتاج إلى محرك التحول (metamorphic engine). والفيروسات المتحولة عادة ما تكون كبيرة جدا ومعقدة. على سبيل المثال،

يتألف فيروس W32/Simile من أكثر من 14000 سطر من لغة برمجة assembly language ، و 90% منها هي جزء من محرك التحول.

*نقاط الضعف فى أنظمة التشغيل*

في أنظمة التشغيل التي تستخدم إمتدادات الملفات (file extensions) لتحديد نوعية البرنامج (مثل مايكروسوفت ويندوز)، الإمتدادات قد تكون مخفية عن المستخدم بشكل

إفتراضي. لذلك قد لا يظهر للمستخدم نوعية الملف الحقيقية. على سبيل المثال، قد يكون هناك ملف قابل للتنفيذ واسمه “picture.png.exe”، لكن المستخدم يرى فقط

“picture.png” إذ إن إمتداد الملف الحقيقى مخفى عن المستخدم بشكل إفتراضى من قبل الويندوز (by default)، وبالتالي يظن المستخدم أن هذا الملف هو صورة وعلى

الأرجح هو آمن، ولكن عندما يتم فتحه ينشر فيروس ما فى جهاز المستخدم. وهذه ملاحظة هامة جداً وجب التنويه بها لئلا يصاب جهازك بفيروس من حيث لا تدرى.

ملاحظة أخرى : هل يستطيع الفيروس إصابة ملفات الفيديو مثل : MP3 و MP4 و MKV ؟

لا, ولكن يمكن لمبرمج الفيروس أن يقوم بعمل إمتداد وهمى مثل MP3 وتغيير شكل الأيقونة ليظن

المستخدم أنه ملف MP3 عادى ولكن فى الحقيقة هو ملف تنفيذى يحمل الإمتداد EXE أو فى حالة أخرى

يمكن للويندوز أن يُخفى عن المستخدم الإمتداد الحقيقى للملف بشكل إفتراضى كما ذكرتُ سابقاً, فبدل أن يرى إمتداده VIDEO.MP3.EXE يراه فقط VIDEO.MP3 وهكذا يظن أنه ملف آمن ويشغله دون أن يفحصه ببرنامج المكافحة.

ولكن يمكن التغلب على مشكلة عدم ظهور الإمتدادات بهذه الطريقة كالتالى :

1- إفتح لوحة التحكم (CONTROL PANEL) ثم إضغط على Appearance and Personalization

2- ثم إضغط على Show hidden Files and Folders

3- قم بتعطيل الخيار hide extensions for known file types



ثانياً : أنواع الفيروسات :

*ما هى الفيروسات الملازمة والغير ملازمة ؟*
[Resident &. non-resident viruses]


– الفيروس الملازم {ويعرف أيضاً بالفيروس الملازم لذاكرة الوصول العشوائى RAM} : هو فيروس يتسلل إلى الجهاز الحاضن (HOST) ويثبت نفسه فيه كجزء من نظام

تشغيله, وبعد ذلك يبقى كامناً فى ذاكرة الوصول العشوائى (RAM) من وقت تشغيل الكمبيوتر حتى وقت إغلاقه, وعندما يحاول نظام التشغيل الوصول إلى

الملف أو قطاع القرص الصلب المصاب بالفيروس الأم، فإن شفرة الفيروس تعترض الطلب وتوجهه إلى جنين منسوخ من الأم فى ملف آخر مما يؤدى لإصابته أيضاً.

– الفيروس غير الملازم {ويعرف أيضاً بالفيروس الغير ملازم لذاكرة الوصول العشوائى RAM} : وهو يقوم بفحص القرص الصلب

بحثاً عن الملفات المطلوبة التى يريد إصابتها، ثم يصيبهم بالعدوى، ويخرج من الجهاز الحاضن (أي أنه لا يبقى في الذاكرة بعد أن يتم تنفيذ ذلك).

*فيروسات الماكرو*

هناك العديد من التطبيقات الشائعة، مثل Microsoft Outlook و Microsoft Word، التى يكون فيها برامج الماكرو

جزءاً لا يتجزأ من المستندات (Documents) أو رسائل البريد الإلكتروني، بحيث يمكن تشغيل هذه البرامج تلقائياً عند فتح

المستند. وفيروس الماكرو (أو”فيروس المستند”) هو فيروس مكتوب بلغة الماكرو، وصُمم ليندمج بهذه المستندات بحيث عندما يقوم

المستخدمون بفتح المستند، يتم تنشيط شفرة الفيروس، ويصيب جهاز الكمبيوتر الخاص بالمستخدم. ولهذا يجب توخى الحذر قبل فتح

الملفات المرفقة في رسائل البريد الإلكتروني (Email Attachments).

*فيروسات قسم الإقلاع*

فيروسات قطاع الإقلاع (Boot Sector Viruses) تستهدف على وجه التحديد Master Boot Record (MBR) فى القرص الصلب أو وسائط التخزين المختلفة (Flash drives, Floppy disks)….إلخ.

ثالثاً : تاريخ تطوير الفيروسات :

العمل الأكاديمى الأول على نظرية برامج الكمبيوتر القادرة على التضاعف تم في عام 1949 من قبل جون فون نيومان الذي ألقى محاضرات في جامعة إلينوي عن “النظرية”.

وقد نشرت أعمال فون نيومان فيما بعد باسم “نظرية التضاعف الذاتى”. ووصف فون نيومان في مقالته كيف يمكن تصميم برنامج كمبيوتر قادر على إعادة إنتاج نفسه.

ولذلك إعتُبر برنامج التضاعف الذاتى لفون نيومان تمهيداً لظهور فيروسات الكمبيوتر فيما بعد إذ إن كل فيروس تم تصميمه بعد ذلك قائم على هذه التقنية، وفون نيومان نفسه يعتبر الأب الروحى لعلم فيروسات الكمبيوتر .

– وفى عام 1972م قام فيث ريساك ببناء عمله على نظرية فون نيومان حيث كتب مقالاً يصف فيه تصميم فيروس مكتوب بلغة assembler خاص بنظام SIEMENS 4004/35.

– وفي عام 1980م كتب يورجين كراوس أطروحةً في جامعة دورتموند الألمانية وافترض فيها أن فيروسات الكمبيوتر تتصرف بطريقة مشابهة للفيروسات البيولوجية التى تصيب الإنسان.

*أولى الفيروسات التى إكتشفت على الإطلاق*

تم إكتشاف فيروس الزاحف (The Creeper) أول مرة على شبكة ARPANET، تمت كتابته وتجريبه من قبل بوب توماس في مؤسسة بي بي إن للتكنولوجيا

عام 1971م، وقد إستخدم هذا الفيروس شبكة ARPANET ليصيب عائلة حواسيب PDP-10 المصممة من قبل شركات Digital Equipment Corporation والتى

تستعمل نظام التشغيل (TENEX) الشبيه ببرنامج Command Prompt, وعندما تتم الإصابة تظهر الرسالة التالية على النظام :

ومن ثم تم تصميم برنامج The Reaper لمكافحة فيروس Creeper.

– وخلال عام 1982م تمّ تصميم أوّل فيروس شخصي من قبل ريتشارد سكرينتا، وكان يُعرف الفايروس باسم Elk Cloner.

– وفي عام 1984 كتب فريد كوهين من جامعة جنوب كاليفورنيا مقالته التى تدعو بشكل صريح برامج التضاعف الذاتى باسم “فيروس”، وهو مصطلح قدمه معلم كوهين الشخصى “ليونارد أدلمان”.

– وكان أول فيروس خاص بحواسيب IBM يطلق عليه اسم Brain تم إنشاؤه في عام 1986 من قبل الإخوة فاروق ألفي في باكستان، وقد قيل فى سبب إنشاؤه أنه لردع النسخ غير المرخصة من البرامج التي طوروها.

– أول فيروس خصص لإستهداف مايكروسوفت ويندوز، كان يدعى WinVir صمم في أبريل 1992، عقب إطلاق ويندوز 3.0 بعامين.

– وبعد سنوات قليلة، في فبراير 1996، قام بعض قراصنة الحواسيب الأستراليين بتصميم فيروس VLAD، الذي كان أول فيروس لإستهداف ويندوز 95.

– في أواخر عام 1997 أُفرج عن فيروس Win32.Cabanas أول فيروس يستهدف ويندوز NT (وكان أيضاً قادر على إصابة ويندوز 3.0 وعائلة windows 9x).

– وفى نوفمبر 1987 تم إكتشاف فيروس SCA فى عائلة الحواسيب الشخصية Amiga المقدمة من شركة Commodore International.

– وفي 15 أغسطس 2001 تم إنشاء فيروس Win32.5-0-1 بواسطة مات لاروز ليستهدف خصيصاً مستخدمى مواقع وبرامج

التواصل الإجتماعى مثل Windows Live Messenger بشرط أن ينقر المستخدم على رابط ما لتنشيط الفيروس، ومن ثم

ترسل رسالة تحتوي على بيانات المستخدم إلى عنوان بريد الكتروني مجهول، وقد إكتشف فى وقت لاحق أنه مملوك من قبل لاروز.

ومن الجدير بالذكر أن البيانات المرسلة إلى لاروز تشمل الIP address الخاص بالمستخدم وعنوان بريده الإلكترونى وتفاصيل

اتصالاته والجمل التى يستعملها المستخدم عادة فى اتصالاته…إلى آخره من المعلومات التى تضر بالمستخدم.

– وفى عام 2008 إستخدمت المواقع الكبيرة فيروس Win32.5-0-1 لتتبع المستخدمين والحصول على المعلومات التى تخصهم منهم.

*لغات البرمجة التي يكتب بها الفيروس*

من أهم اللغات التي يكتب بها كود الفيروس هي Assembly Language وهناك أيضاً اللغات الراقية مثل C Programming Language و لغة البرمجة ++C و Visual BASIC.

رابعاً : أنواع الملفات التي تصيبها الفيروسات :

ويصيب الفيروس الملفات التنفيذية أو الملفات المشفرة غير النصية مثل التالية:

1. الملفات التنفيذية ذات الإمتداد (EXE ,.DLL,.COM.)ضمن أنظمة التشغيل دوس وميكروسوفت ويندوز، أو (ELF) في أنظمة لينكس.

2. سجلات الملفات والبيانات (VOLUME BOOT RECORD) في الأقراص المرنة والصلبة والسجل رقم (0) في القرص الصلب MASTER BOOT.

3. الملفات التي تحتوي على Macro المدمج في حزمة برامج مايكروسوفت أوفيس مثل مايكروسوفت(word) ومايكروسوفت(excel) ومايكروسوفت(Access).

4. قواعد البيانات (DataBases) وتطبيقات Outlook لها دور كبير في الإصابة ونشر الإصابة لغيرها لما تحويه من عناوين البريد الإلكتروني.

5. الملفات من النوع (PDF) وبعض الروابط (Links) فى صفحات الويب (HTML).

6. الملفات المضغوطة والتى يكون إمتدادها ZIP وRAR.

7. ملفات Unix shell في نظام التشغيل يونيكس (UNIX).

8. عند تحميل كراك لعبة أو Patch لها ولهذا يفضل فحص الملفات ببرنامج الAnti-Virus قبل النقر عليها بDouble-Click

لأن معظم الفيروسات التى تكون حبيسة فى ملفات Executable Files (EXE) تظل كامنة وغير نشطة ولا تصيب النظام بضرر حتى تُفَعَّلَ.

ومن الجدير بالذكر أن الفيروس قد يصيب القسم الذى يحتوى على ملفات الإقلاع (BOOT) فى القرص الصلب مما يعيق الكمبيوتر عن

تشغيل الويندوز, وعندما تنجح عملية تناسخ أو تضاعف الفيروس يطلق على الملفات التى أصابها الفيروس المتضاعف [ملفات مصابة بالعدوى].

خامساً : وظائف الفيروسات :

فيروس الكمبيوتر يجب أن يحتوى على ثلاثة أجزاء هامة تسمى بالأجزاء الروتينية :

الجزء الأول يسمى روتين البحث وهو الذى يسمح للفيروس بأن يستهدف الملفات الجديدة أو الأقراص (Disks) الجديدة على

النظام التى تكون جديرة بالإصابة بالنسبة للفيروس, وفى المرتبة الثانية يجب أن يحتوى الفيروس على روتين النسخ وهو الجزء

الذى يسمح له بنسخ نفسه داخل البرنامج أو الملف الذى يرصده روتين البحث وآخر جزء من الأجزاء الروتينية يسمى روتين التخفى أو مكافحة الكشف.

ومن المهام الأساسية الضارة التى تقوم بها الفيروسات :

1- شغل مساحة كبيرة من القرص الصلب على الرغم من أنها غير مشبعة بالملفات بحيث أنه إذا قام أحدنا بتفقد خصائص القرص الصلب سواء أكان Partition D أو C يجد

أنه ممتلئ بحيث لا يسمح للويندوز بتنصيب ملفاته المهمة مثل Windows Update أو غيرها مثل Recent Places و Temporary Files ويظهر لنا شريط مساحة القرص

الصلب باللون الأحمر مما يدل على أنه يحتاج لإزالة بعض الملفات لتوفير مساحة كافية لملفات الويندوز.

2- زيادة الضغط على البروسيسور لنسبة قد تصل إلى 100% كما يظهر فى برنامج Task Manager مما قد يسفر عن تلفه وينطبق

ذلك على بقية قطع الهاردوير مثل الHard Disk حيث نجد أن نسبة إستخدامه تصل إلى 100% أحياناً عند وجود فيروسات خبيثة تغزو النظام.

3- التجسس وإختراق الملفات الشخصية وتتبع إتصالات المستخدم (Administrator) عبر مواقع التواصل الإجتماعى أو عبر برامج

الإتصال مثل YAHOO MESSENGER وفى هذه الحالة يسمى البرنامج الخبيث الذى يقوم بذلك ب(Spyware).

4- التجسس على كل ما يكتبه المستخدم بلوحة مفاتيحه (Keyboard) دون علمٍ منه فيما يعرف بkeystroke logger أو خاصية System monitor (خاصية رصد النظام) مما قد يؤدى أيضاً إلى التجسس على إتصالته كما سبق أن ذكرت فى الفقرة السابقة أو كشف بعض من الPasswords الخاصة بمالك الكمبيوتر.

وعلى هذا فليست كل الفيروسات تهدف إلى تدمير أجهزة الحاسب إلا أن الصفة المشتركة والمميزة للفيروسات أنها تتسلل إلى النظام وتختبئ فيه دون إذن المستخدم,

ومبرمجوا الفيروسات غالباً ما يستعملون وسائل معقدة تمكنهم من إختراق أجهزة الحاسب ومن هذه الطرق : الهندسة الإجتماعية وخبرتهم الواسعة عن الثغرات الأمنية فى

أنظمة الحواسيب خاصة التى تستعمل نظام التشغيل (Microsoft Windows), وغالباً ما يستعملون أساليب معقدة من فن التمويه والتسلل لتجنب أن تكشف فيروساتهم ببرامج مكافحة الفيروسات (Anti-Virus).

ومن الملاحظ أن الجهاز المصاب بالفيروسات يكون ثقيلاً وصعب الإستخدام كما يلاحظ تكرار حدوث تعليق للجهاز أو FREEZING كل دقيقتين تقريباً وهذا الكلام عن تجربة مررت بها شخصياً

سادساً : الدوافع وراء تصميم الفيروسات :

ودوافع المبرمجين لتصميم الفيروسات يمكن أن تشمل الهدف لتحقيق الربح، أوالرغبة في إرسال رسالة سياسية، أو إشباع الرغبات الشخصية، أو لإثبات وجود ضعف أو خلل

في برنامج ما “كالرسالة التى أرسلها أحد مبرمجى ديدان الحواسيب إلى Bill Gates (المؤسس المشارك لشركة مايكروسوفت) ينبهه فيها إلى ضعف أحد البرامج (Software)

التى صممها Bill Gates {كما أنها تعكس استياءاً كبيراً في مجتمع البرمجة بسبب هيمنة مايكروسوفت المتزايدة لسوق تصميم البرمجيات (Software)}… :


[وتسمى الدودة التى أظهرت هذه الرسالة بThe Blaster Worm]

،أو بهدف تخريب أجهزة الآخرين فقط وحرمانهم من بعض الخدمات،أو ببساطة لأنهم يرغبون في إستكشاف أسرار الحياة الإصطناعية والخوارزميات التطورية.

*من أضرار الفيروسات*



تسبب فيروسات الكمبيوتر حالياً ضرراً إقتصادياً يقدر بالبلايين من الدولارات سنوياً، نظراً إلى التسبب في فشل الأنظمة (system failure)، وتدمير قطع الكمبيوتر

(Hardware)، وإفساد البيانات، وزيادة تكاليف الصيانة،…… إلخ, وكردٍ على ذلك, تم تطوير برامج مكافحة فيروسات مجانية ، كما أن فجر صناعة برامج مكافحة الفيروسات

قد بزغ بشكل مبهر مُشكِلاً ثورة صناعيةً عظيمة فى هذا المجال الهام, كما أن برامج مكافحة الفيروسات متوفرة لمستخدمي أنظمة التشغيل المختلفة. وبالرغم من أن برامج

الحماية من الفيروسات الموجودة حالياً غير قادرة على كشف جميع أنواع الفيروسات (وخاصة الحديث منها)، إلا أن الباحثين التقنيون يعملون على إبتكار طرق جديدة لتمكين

برامج مكافحة الفيروسات من إكتشاف الفيروسات الناشئة بطريقة أكثر فعالية، قبل أن تتطور هذه الفيروسات الناشئة وتصبح واسعة الإنتشار.

سابعاً : مكونات الفيروس :

ويتكون الفيروس بشكل عام من أربعة أجزاء رئيسية وهي :

1- آلية التناسخ (The Replication Mechanism) وتسمى أيضاً آلية العدوى (Infection mechanism) وهو الجزء الذي يسمح للفيروس أن ينسخ نفسه.

2- آلية التخفي The Protection Mechanism وهو الجزء الذي يخفي الفيروس عن الإكتشاف.

3- آلية التنشيط The trigger Mechanism وهو الجزء الذي يسمح للفيروس بالإنتشار قبل أن يكتشف ويعرف أيضاً بالقنبلة الموقوتة أو الذكية لأن تفعيله يرتبط بحدث معين

فى النظام مثل تاريخ أو وقت معين ومن أمثلة هذه الفيروسات التى تحمل هذا الجزء, فيروس (Michelangelo) ويتميز بإستخدام توقيت الساعة والتاريخ في الحاسوب والذي

ينشط في السادس من آذار من كل عام [وهو تاريخ مولد فنان عصر النهضة مايكل أنجلو ولهذا سمى الفيروس باسمه] وهو يصيب أنظمة دوس فقط (DOS systems).

4- آلية التنفيذ The Payload Mechanism وهو الجزء الذي ينفذه الفيروس عندما يتم تنشيطه.

ثامناً : دورة حياة الفيروس :

يمكن تقسيم دورة حياة الفيروس إلى 4 مراحل :

1- مرحلة السبات :

فى هذه المرحلة يكون الفيروس في حالة خمول, وسيتم تنشيط الفيروس فيما بعد عن طريق جزء التنشيط The trigger Mechanism السابق ذكره فى فقرة مكونات الفيروس وهو الجزء الذي يحدد المؤثر الذي سينشط الفيروس مثل تاريخ معين، أو

وجود برنامج أو ملف معين ينشط الفيروس، أو عندما تصل مساحة القرص الصلب إلى حدٍ معين, وليست كل الفيروسات تمر بهذه المرحلة فى دورة حياتها.

2- مرحلة التضاعف أو الإنتشار :

وهنا يبدأ الفيروس فى مضاعفة نفسه, ومن ثم يضع نسخة منه في برامج أخرى أو في مناطق معينة على القرص الصلب, والأجنة

المنسوخة لا تبقى مطابقة للأم إلى الأبد, فهى غالباً ما تتحول لتتجنب الكشف من قبل برامج مكافحة الفيروسات, وسيتضمن كل برنامج

مصاب الآن نسخة من الفيروس، والتي ستقوم بدورها بالتضاعف داخل البرنامج.

3- مرحلة التنشيط :

يصبح فيها الفيروس الخامل نشطاً, حيث يتم تنشيطه بمجموعة متنوعة من الأحداث، مثل عدد المرات التي نسخ فيها الفيروس نفسه.

4- مرحلة التنفيذ :

فى هذه المرحلة يقوم الفيروس بوظيفته الأساسية, والتى قد تكون ضارة مثل تدمير الملفات الموجودة على القرص الصلب أو غير ضارة مثل إظهار رسائل مزعجة على شاشة المستخدم.


***أسئلة هامة***

وفى ختام الموضوع أحب أن أذكر سؤالاً لطالما دار فى أذهان كثير منا وهو : هل برامج الحماية المدمجة فى الويندوز وخصوصاً بعد

ظهور windows defender فى ويندوز 10 الذى يعمل كAnti-Virus تكون بنفس كفاءة البرامج الأصلية المصنعة من

الشركات الأخرى ؟

الإجابة : لا, لن تكون بنفس القوة والكفاءة وإنما تصلح كحل مؤقت حتى شراء برنامج Anti-Virus قوى ومناسب.

السؤال الثانى : هل أنا بحاجة إلى أن أدفع ثمناً باهظاً مقابل شراء Anti-Virus قوى يناسب إحتياجاتى ؟

الإجابة : الأمر يتعلق بالمستخدم نفسه حسب إحتياجاته الشخصية وطبيعة عمله, فإن كنت مستخدم عادى على سبيل المثال, تستعمل

الحاسب بغرض الألعاب وما شابه فإن برامج المكافحة المجانية من أمثال AVG & AVAST أكثر من كافية بالنسبة إليك لأن الفرق بين

المدفوع والمجانى من برامج المكافحة ماهو إلا مجموعة ميزات إضافية تضاف لرصيدك عند شراء المنتج, فلنأخذ على سبيل المثال

برنامج AVAST فالفرق بين النسخة المدفوعة والمجانية هى ميزات مثل المزيد من الحماية عند زيارة مواقع الدفع الإلكترونى Credit Card مثلاً ومنع سرقة بياناتك أثناء التسوق عبر الإنترنت ومزيد من الحماية لخصوصيتك وملفاتك وتنظيف وتنظيم الInbox لبريدك

الإلكترونى وإبقاء البرنامج Up-To-Date بشكل دورى وغيرها من الخدمات التى قد لا تهمنا كثيراً لذا إن كنت مستخدم عادى فإن

البرامج المجانية أكثر من كافية أم إذا كنت تستعمل الحاسب لوظيفة وعمل مثلاً فقد تفيدك بعض الميزات الموجودة فى النسخ المدفوعة

مثل إدارة عدة حواسيب تستعملها من أجل العمل وحماية أكثر من حاسب بنسخة واحدة من الأنتى فيروس وغيرها من الخدمات لذا فإن

كل ذلك يعتمد على المستخدم نفسه وليس على كفاءة البرنامج فى إكتشاف الفيروسات ونحوه فإن كلا النسختين المدفوعة والمجانية

التصنيفات: أخبار

ضع رأيك هنا