ماهو الفايروس
عندما تحدثت التقاريرفي عام 1989 عن أول فيروسات الكمبيوتر ، خيل للكثيرين (ومن بينهم خبراء في هذاالمجال ) أن ذلك مجرد خرافة ابتدعها أحد كتاب قصص الخيال العلمي ، وأن وسائلالإعلام تحاول أن ترسخها في أذهان الناس كحقيقة رغم أنها لا تمت إلى الواقع بصلة . لقد امتدت تلك الظاهرة واتسعت حتى باتت تشكل خطراً حقيقياً يهدد الثورة المعلوماتيةالتي فجرتها التقنيات المتطورة والمتسارعة في علوم الكمبيوتر. فمن بضة فيروسات لاتزيد عن عدد أصابع اليد في السنة الأولى إلى ما يزيد عن (5000 1 ) فيروس في يومناهذا ، وفي كل يوم تكتشف أنواع جديدة من الفيروسات المختلفة التأثير مما يقلق مستخدمالكمبيوتر ويسلبهم راحة البال . ومن فيروسات بسيطة الضرر والتأثير يسهل اكتشافهاوالتخلص منها مروراً بفيروسات خبيثة بالغة الأذى تجيد التخفي ويطول زمن اكتشافهاإلى فيروسات ماكرة ذكية تبرع في التغير والتحول من شكل لآخر مما يجعل تقفي أثرهاوإلغاء ضررها أمرا صعبا. أما الأسباب التي تدفع بعض الناس لكتابة البرامج الفيروسيةفمنها:
1- الحد من نسخ البرامج كما في فيروس brain أو Pakistani
وهو أولفيروسات الكمبيوتر ظهورا وأكثرها انتشارا وكتب من قبل أخوين من الباكستان كحمايةللملكية الفكرية للبرامج التي قاما بكتابتها..
2- البحث العلمي كما فيفيروس STONED.الشهير والذي كتبه طالب دراسات عليا في نيوزيلندة وسرق من قبل أخيهالذي أراد أن يداعب أصدقاءه بنقل الفيروس إليهم .
3- الرغبة في التحديوإبراز المقدرة الفكرية من بعض الأشخاص الذين يسخرون ذكاءهم وقدراتهم بشكل سيئ ،مثل فيروسات V2P التي كتبها Mark Washburn كإثبات أن البرامج المضادة للفيروسات مننوع Scanners غير فعالة.
4- الرغبة في الانتقام من قبل بعض المبرمجينالمطرودين من أعمالهم والناقمين على شركاتهم وتصمم الفيروسات في هذه الحالة بحيثتنشط بعد تركهم العمل بفترة كافية أي تتضمن قنبلة منطقية موقوتة .
5- التشجيع على شراء البرامج المضادة للفيروسات إذ تقوم بعض شركات البرمجة بنشرفيروسات جديدة ثم تعلن عن منتج جديد لكشفهما.
يعرف الفيروس في علمالبيولوجيا على أنه جزيئه صغيرة من مادة حية غير قادرة على التكاثر ذاتيا" ولكنهاتمتلك مادة وراثية كافية لتمكينهما من الدخول إلى خلية حية وتغيير العمليات الفعالةفي الخلية بحيث تقوم تلك الخلية بإنتاج جزيئات جديدة من ذلك الفيروس و التي تستطيعبدورها مهاجمة خلايا جديدة.
و بشكل مشابه ، يعرف الفيروس في علم الكمبيوتر علىأنه برنامج صغير أو جزء من برنامج يربط نفسه ببرنامج آخر ولكنه يغير عمل ذلكالبرنامج لكي يتمكن الفيروس من التكاثر عن طريقه ..
ويتصف فيروس الكمبيوتر بأنه : برنامج قادر على التناسخ Replication والانتشار أي خلق نسخ (قد تكون معدلة) مننفسه . وهذا ما يميز الفيروس عن البرامج الضارة الأخرى التي لا تكرر نفسها مثلأحصنة طروادة Trojans والقنا بل المنطقية Bombs .
عملية التناسخ ذاتها هي عمليةمقصودة وليست تأثيرا جانبيا وتسبب خللا أو تخريبا في نظام الكمبيوتر المصاب إمابشكل عفوي أو متعمد ويجب على الفيروس أن يربط نفسه ببرنامج أخر يسمى البرنامجالحاضن HOST بحيث أن أي تنفيذ لذلك البرنامج سيضمن تنفيذ الفيروس، هذا ما يميزالفيروس عن الديدان worms التي لا تحتاج إلى ذل .
لنتعرف الآن على آلية عملالفيروسات
أنواع الفايروسات
اولا: الفايروسات Virus
الفيروس لايمكن ان يصيب جهازك بالعدوى الا اذا قمت بتشغيله بمعنى انك عندما تقوم بنقل ملفمصاب من فهرس الي فهرس او الى دسك فإن الفيروس لا يصيبك ولكن لو حاولت ان تمزح معالفيروس وذلك بأن تشغل الملف المصاب فهذا يحول الفيرس الي الحالة النشطة
كمايجب ان تعلم ان الفيروسات لا تصيب سوى الملفات التنفيذية و ملفات الماكرو و التي هينفسها الفيروس و بالنسبة لملفات الاخرى كملفات الصوت و الصور فانها عادة لا تصاببالفيروسات
فا هذا النوع يصيب جهازك و يقوم بتخريبه و يقوم بستنساخ نفسه اي انهيصيب البرامج التي في جهازك اي انك عندما تصاب بفايروس و تقوم بتشغيل برناج فيجهازك ثم تنسخ هذا البرنامج الى جهاز ثاني فا سوف يصاب الجهاز الاخير
ثانيا:احصنة طرواده Trojan Hours
هذا النوع من الفيروسات لا ينسخ نفسه, فقط عندما تثبته يقوم بعمل معين كأن يقوم بسرقة ملفات او ارقام سريه من جهازك الىمكان ما على الانترنت و هو الاكثر استخداما لدي الهاكرز لسرقة المعلومات.
ثالثا: الدود warm
برامج تنسخ نفسها من جهاز الى جهاز عن طريق الشبكاتولا تحتاج لاي نسخ منك فهي تنتقل عن طريق الشبكات لوحدها
آلية عملالفايروسات
للفيروس أربعة آليات أثناء انتشاره في الكمبيوتر الضحية
1- آلية التناسخ Replication
وهو الجزء الذي يسمح للفيروس أن ينسخنفسه وبدونه لا يمكن للبرنامج أن يكرر ذاته وبالتالي فهو ليس فيروسا . .
2- آلية التخفي The Protection Mechanism
وهو الجزء الذي يخفى الفيروس عن الاكتشافويمكن أن يتضمن تشفير
الفيروس لمنع البرامج الماسحة التي تبحث عن نموذج الفيروسمن اكتشافه
3- آلية التنشيط Activate
وهو الجزء الذي يسمح للفيروسبالانتشار قبل أن يعرف وجوده كاستخدام توقيت الساعة
كما في فيروس MICHELANGELO الذي ينشط في السادس من آذار من كل عام وهنالك فيروسات تنتظر حتى تنفذ برنامج ماعددا معين من المرات كما في فيروس ICELAND ،و كما في فيروس TAIWAN الذي يسبب تهيئةالقرص الصلب بعد (90)اقلاع للكمبيوتر ،وفيروس MANCHU الذي ينشط عند الضغط علىمفتاحCTRL+ALT+DEL
تعمل الفيروسات بطرق مختلفة، وسنعرض فيما يلي للطريقةالعامة التي تنتهجها كافة الفيروسات. في البداية يظهر الفيروس على جهازك، ويكون قددخل إليه مختبئاً في ملف برنامج ملوث (مثل ملفات COM أو EXE أو قطاع الإقلاع). وكانت الفيروسات في الماضي تنتشر بشكل أساسي عن طريق توزيع أقراص مرنة ملوثة. أمااليوم، فمعظمها يأتي مع البرامج المنقولة عبر الشبكات (ومن بينها إنترنت)، كجزء منبرنامج تركيب نسخة تجريبية من تطبيق معين، أو ماكرو لأحد التطبيقات الشهيرة، أوكملف مرفق (attachment) برسالة بريد إلكتروني.
ويجدر التنويه إلى أن رسالةالبريد الإلكتروني نفسها لا يمكن أن تكون فيروساً، فالفيروس برنامج، ويجب تشغيلهلكي يصبح نشطاً. إذاً الفيروس المرفق برسالة بريد إلكتروني، لا حول له ولا قوة، إلىأن تشغّله. ويتم تشغيل فيروسات المرفقات عادة، بالنقر عليها نقرة مزدوجة بالماوس. ويمكنك حماية جهازك من هذه الفيروسات، بالامتناع عن تشغيل أي ملف مرفق برسالة بريدإلكتروني، إذا كان امتداده COM أو EXE، أو إذا كان أحد ملفات بيانات التطبيقات التيتدعم الماكرو، مثل برامج أوفيس، إلى ما بعد فحصه والتأكد من خلوه من الفيروسات. أماملفات الرسوميات والصوت ، وأنواع ملفات البيانات الأخرى القادمة كمرفقات، فهي آمنة،ولا يمكن للفيروس أن ينشط من خلالها، ولذلك فهو لا يهاجمها .
إذاً يبدأالفيروس دورة حياته على الجهاز بشكل مشابه لبرنامج حصان طروادة، فهو يختبئ في ثنايابرنامج أو ملف آخر، وينشطمعه. في الملفات التنفيذية الملوثة، يكون الفيروس قد أضافشيفرته إلى البرنامج الأصلي، وعدل تعليماته بحيث ينتقل التنفيذ إلى شيفرة الفيروس. وعند تشغيل الملف التنفيذي المصاب، يقفز البرنامج عادة إلى تعليمات الفيروس،فينفذها، ثم يعود ثانية لتنفيذ تعليمات البرنامج الأصلي. وعند هذه النقطة يكونالفيروس نشطاً، وجهازك أصبح ملوثاً ،وقد ينفذ الفيروس مهمته فور تنشيطه ويطلق عليهفيروس العمل المباشر direct-action) ) أو يقبع منتظراً في الذاكرة، باستخدام وظيفة " الإنهاء والبقاء في الذاكرة" terminate and stay resident, TSR)، التي تؤمنها نظمالتشغيل عادة.
وتنتمي غالبية الفيروسات لهذه الفئة، ويطلق عليها الفيروسات "المقيمة". ونظراً للإمكانيات الكبيرة المتاحة للبرامج المقيمة في الذاكرة، بدءاًمن تشغيل التطبيقات والنسخ الاحتياطي للملفات إلى مراقبة ضغطات لوحة المفاتيحونقرات الماوس (والكثير من الأعمال الأخرى)، فيمكن برمجة الفيروس المقيم، لتنفيذ أيعمل يمكن أن يقوم به نظام التشغيل، تقريباً . يمكن تشغيل الفيروس المقيم كقنبلة،فيبدأ مهمته على جهازك عند حدث معين. ومن الأمور التي تستطيع الفيروسات المقيمةعملها، مسح (scan) قرصك الصلب وأقراص الشبكة بحثاً عن الملفات التنفيذية، ثم نسخنفسها إلى هذه الملفات وتلويثها.
حصن نظامك ضدالفايروسات
تعتبر الفيروسات أكثر المشاكل خطراً، التي يمكن أن تصيب الأنظمة،حيث تظهر كل يوم، عشرات منها، يمكنها تدمير البيانات، أو تخريبها على مستوى واسع. وعليك لذلك، أن تركب برنامج حماية من الفيروسات في نظامك، وأن تحدّث ملفات تعريفالفيروسات، من الشركة المنتجة، خلال فترات متقاربة، لتضمن الحماية من أحدثالفيروسات، حيث أن الحديث منها، هو الذي يتسبب بأكبر الأضرار، نتيجة عدم تعرف برامجالوقاية عليه.
كما تقوم أشهر الشركات التي تقدم برامج الحماية من الفيروسات. بطرح إصدارات تجريبية من هذه البرامج، يمكنك اختبارها، واختيار أنسبها لنظامك. وننصحك بإبقاء هذه البرامج فعالة طيلة الوقت، حيث تقدم بعضها، إمكانية فحص الشيفراتالمكونة لصفحات HTML بحثاً عن برمجيات ActiveX أو جافا خبيثة، لكنها ليست فعالةكثيراً، في هذا المجال، لأن مثل هذه البرمجيات الخبيثة، يمكن تعديلها بسهولة، بحيثلا تتمكن هذه البرامج أن تتعرف عليها.
وتذكّر أن تعدل إعدادات برامج الحماية،بحيث تفحص البرامج المرفقة مع رسائل البريد الإلكتروني تلقائياً، أو أن تفحصالبرامج المرفقة يدوياً، قبل تشغيلها، إذا لم يتضمن برنامج الحماية الذي تستخدمهميزة الفحص التلقائي هذه.
إذا كنت مسؤولاً عن إدارة شبكة تتضمن كثيراً من تبادلالبيانات مع شبكات خارجية، أو كنت تتعامل مع بيانات عالية الأهمية، فننصحك باستخدامبرنامجين من برامج الحماية من الفيروسات معاً، وتركيبهما على نظامك، حيث تضمن بذلك،أعلى درجة ممكنة من الحماية، إذا تعثر أحد البرنامجين في الفحص، حيث يمكن أن يعطيكأحدهما تنبيهاً خاطئاً (كما فعل سابقاً، برنامج Norton AntiVirus، مع القرص المدمجمن مجلة PCMagazine العربية، قبل أن تصحح منتجة البرنامج، شركة Symantec، خطأها)،أو أن يخفق أحدهما في الكشف عن فيروس معين. وسيسبب لك ذلك، في الحالتين، إزعاجاًكبيراً. وسيقدم لك استخدام برنامجين تأكيداً مضاعفاً، إذ أن رأيين أفضل من رأيواحد! لكن، تجدر الإشارة إلى أن قلة من برامج الوقاية من الفيروسات، يمكن أنتتضارب، إذا عملت معاً.
- احذر هذه البرامج
وضحنا مدى الأخطار التيتتعرض إليها، عند استخدام بعض البرامج المختلفة، مثل برامج الماسنجر ، وخاصة ICQ وبعض أنظمة الدردشة، حيث تبقى هذه البرامج فعالة طيلة فترة عمل الجهاز، وتسلط الضوءعليك، كلما اتصلت بإنترنت، معلنة وجودك، لمن يرغب من المخترقين، بالإضافة إلى أنهاتقدم له معلومات عنك، تسهل عملية الاختراق. وننصحك لذلك، أن توقف عمل مثل هذهالبرامج، كلما توقفت عن استخدامها.
تفصيلالفايروسات
يبحث مطورو الفيروسات، بشكل دائم، عن طرق جديدة لتلويث كمبيوترك، لكن أنواع الفيروسات معدودة عملياً، وتصنف إلى: فيروسات قطاع الإقلاع (boot sector viruses)، وملوثات الملفات (file infectors) ، وفيروسات الماكرو (macro viruses) ، وتوجد أسماء أخرى لهذه الفئات، وبعض الفئات المتفرعة عنها، لكن مفهومهايبقى واحداً.
تقبع فيروسات قطاع الإقلاع في أماكن معينة على القرص الصلب ضمنجهازك، وهي الأماكن التي يقرأها الكمبيوتر وينفذ التعليمات المخزنة ضمنها، عندالإقلاع. تصيب فيروسات قطاع الإقلاع الحقيقية منطقة قطاع الإقلاع الخاصة بنظام دوس (DOS boot record)، بينما تصيب فيروسات الفئة الفرعية المسماة MBR viruses، قطاعالإقلاع الرئيسي للكمبيوتر (master boot record). يقرأ الكمبيوتر كلا المنطقتينالسابقتين من القرص الصلب عند الإقلاع ، مما يؤدي إلى تحميل الفيروس في الذاكرة. يمكن للفيروسات أن تصيب قطاع الإقلاع على الأقراص المرنة، لكن الأقراص المرنةالنظيفة، والمحمية من الكتابة، تبقى أكثر الطرق أمناً لإقلاع النظام، في حالاتالطوارئ. والمشكلة التي يواجهها المستخدم بالطبع، هي كيفية التأكد من نظافة القرصالمرن، أي خلوه من الفيروسات، قبل استخدامه في الإقلاع، وهذا ما تحاول أن تفعلهبرامج مكافحة الفيروسات.
تلصق ملوثات الملفات (وتدعى أيضاً الفيروساتالطفيلية parasitic viruses ) نفسها بالملفات التنفيذية، وهي أكثر أنواع الفيروساتشيوعاً. وعندما يعمل أحد البرامج الملوثة، فإن هذا الفيروس، عادة، ينتظر في الذاكرةإلى أن يشغّل المستخدم برنامجاً آخر، فيسرع عندها إلى تلويثه. وهكذا، يعيد هذاالنوع من الفيروس إنتاج نفسه، ببساطة، من خلال استخدام الكمبيوتر بفعالية، أيبتشغيل البرامج! وتوجد أنواع مختلفة من ملوثات الملفات، لكن مبدأ عملهاواحد.
تعتمد فيروسات الماكرو (macro viruses)، وهي من الأنواع الحديثةنسبياً، على حقيقة أن الكثير من التطبيقات تتضمن لغات برمجة مبيتة ضمنها. وقد صممتلغات البرمجة هذه لمساعدة المستخدم على أتمتة العمليات المتكررة التي يجريها ضمنالتطبيق، من خلال السماح له بإنشاء برامج صغيرة تدعى برامج الماكرو. تتضمن برامجطاقم أوفيس، مثلاً، لغة برمجة مبيتة، بالإضافة إلى العديد من برامج الماكرو المبيتةأيضاً، والجاهزة للاستخدام المباشر. وفيروس الماكرو ببساطة، هو برنامج ماكرو مصممللعمل مع تطبيق معين، أو عدة تطبيقات تشترك بلغة برمجة واحدة. أصبحت فيروساتالماكرو شهيرة بفضل الفيروس المصمم لبرنامج مايكروسوفت وورد. فعندما تفتح وثيقة أوقالباً ملوثين، ينشط الفيروس ويؤدي مهمته التخريبية. وقد بُرمِج هذا الفيروس لينسخنفسه إلى ملفات الوثائق الأخرى، مما يؤدي إلى ازدياد انتشاره مع استمرار استخدامالبرنامج.
ويجمع نوع رابع يدعى الفيروس "متعدد الأجزاء" (multipartite) بينتلويث قطاع الإقلاع مع تلويث الملفات، في وقت واحد.
ستجد قائمة ضخمة بأسماءالفيروسات، مع شرح تفصيلي عن آثار كل منها، في قسم Virus Encyclopedia من موقعمختبر مكافحة الفيروسات، الخاص بشركة Symantic، التي تنتج برنامج نورتون أنتيفايروس الشهير على العنوان:
http://www.symantec.com/avcenter/vinfodb.htmlتعريفالهكرأطلقت هذه الكلمة في الستينيات لتشير ألي المبرمجين المهرة القادرينعلى التعامل مع الكمبيوتر ومشاكله بخبرة ودراية حيث أنهم وكانوا يقدمون حلولالمشاكل البرمجة بشكل تطوعي في الغالب . بالطبع لم تكن الويندوز او ما يعرف بالـ Graphical User Interface أو GUI قد ظهرت في ذلك الوقت ولكن البرمجة بلغة البيسيكواللوغو والفورتوران في ذلك الزمن كانت جديرة بالاهتمام . ومن هذا المبداء غدىالعارفين بتلك اللغات والمقدمين العون للشركات والمؤسسات والبنوك يعرفون بالهاكرزوتعني الملمين بالبرمجة ومقدمي خدماتهم للآخرين في زمن كان عددهم لا يتجاوز بضعالوف على مستوى العالم أجمع. لذلك فإن هذا الوصف له مدلولات إيجابية ولا يجب خلطهخطأ مع الفئة الأخرى الذين يسطون عنوه على البرامج ويكسرون رموزها بسبب امتلاكهملمهارات فئة الهاكرز . ونظرا لما سببته الفئة الأخيرة من مشاكل وخسائر لا حصر لهافقد أطلق عليهم اسما مرادفا للهاكرز ولكنه يتداول خطأ اليوم وهو (الكراكرز) Crackers.
كان الهاكرز انذاك يعتبرون عباقرة في البرمجة فالهاكر هو المبرمجالذي يقوم بتصميم أسرع البرامج والخالي في ذات الوقت من المشاكل والعيوب التي تعيقالبرنامج عن القيام بدورة المطلوب منه. ولأنهم كذلك فقد ظهر منهم اسمان نجحا فيتصميم وإرساء قواعد أحد البرامج المستخدمة اليوم وهما دينيس ريتشي وكين تومسوناللذان نجحا في أواخر الستينيات في إخراج برنامج اليونيكس الشهير ألي حيز الوجود. لذلك فمن الأفضل عدم إطلاق لقب الهاكر على الأفراد الذين يدخلون عنوة ألي الأنظمةبقصد التطفل أو التخريب بل علينا إطلاق لقب الكراكرز عليهم وهي كلمة مأخوذة منالفعل Crack بالإنجليزية وتعني الكسر أو التحطيم وهي الصفة التي يتميزون بها .
أنواع الكراكرز
قد لايستصيغ البعض كلمة كرا كرز التي أدعو بها المخربين هنالأنه تعود على كلمة هاكرز ولكني سأستخدمها لأعني به المخربين لأنظمة الكمبيوتر وهمعلى كل حال ينقسمون ألي قسمين :
1- المحترفون: هم إما أن يكونوا ممن يحملوندرجات جامعية عليا تخصص كمبيوتر ومعلوماتية ويعملون محللي نظم ومبرمجين ويكونوا علىدراية ببرامج التشغيل ومعرفة عميقة بخباياها والثغرات الموجودة بها. تنتشر هذهالفئة غالبا بأمريكا وأوروبا ولكن إنتشارهم بداء يظهر بالمنطقة العربية (لايعني هذاأن كل من يحمل شهادة عليا بالبرمجة هو باي حال من الأحوال كراكر) ولكنه متى ماإقتحم الأنظمة عنوة مستخدما اسلحته البرمجية العلمية في ذلك فهو بطبيعة الحال احدالمحترفين.
2- الهواه: إما أن يكون أحدهم حاملا لدرجة علمية تساندة في الإطلاععلى كتب بلغات أخرى غير لغته كالأدب الإنجليزي أو لديه هواية قوية في تعلم البرمجةونظم التشغيل فيظل مستخدما للبرامج والتطبيقات الجاهزة ولكنه يطورها حسبما تقتضيهحاجته ولربما يتمكن من كسر شيفرتها البرمجية ليتم نسخها وتوزيعها بالمجان. هذاالصنف ظهر كثيرا في العامين الآخرين على مستوى المعمورة وساهم في إنتشارة عاملين . الأول: انتشار البرامج المساعدة وكثرتها وسهولة التعامل معها . والأمر الثاني: ارتفاع أسعار برامج وتطبيقات الكمبيوتر الأصلية التي تنتجها الشركات مما حفز الهواةعلى إيجاد سبل أخرى لشراء البرامج الأصلية بأسعار تقل كثيرا عما وضع ثمنا لها منقبل الشركات المنتجه.
ينقسم الهواة كذلك إلى قسمين :
1- الخبير: وهو شخصيدخل للأجهزة دون إلحاق الضرر بها ولكنه يميل إلي السيطرة على الجهاز فتجده يحركالماوس عن بعد او يفتح مشغل الأقراص بقصد السيطرة لا أكثر .
2- المبتدأ: هذاالنوع أخطر الكراكرز جميعهم لأنه يحب أن يجرب برامج الهجوم دون أن يفقه تطبيقهافيستخدمها بعشوائية لذلك فهو يقوم أحيانا بدمار واسع دون أن يدري بما يفعله.
كما يجب ان ننيه الي انه لايمكن ان نجد حماية بدرجة 100% مهماكان.
الحماية من الهاكرز
الحماية
لا تستقبل اي ملف كانمن اي شخص حتى لو كنت تعرفه لانه فد يكون جهاز صديقك ملوث بالفيروسات دون علمه وتصاب بها
احمي جهازك ببرنامج مضاد للفيروسات مثل
Norton Anti virus
Mcafee Anti virus