Romyo

فيروسات الحاسب بين الواقع والخيال

يصور البعض فيروس الحاسب على أنه كائن أسطوري يستطيع أن يفعل المعجزات ، وأن هذا الكائن إذا إستطاع السيطرة على الحاسب يمكن أن يقوم بكل شيء ، وأنة يستطيع التغلب علي أعتي البرامج المضادة للفيروسات . والحقيقة أن هذه النظرة للفيروس ترجع إلى عدم وجود المعلومات الكافية عن الفيروس وطبيعته وكيف يمكن أن يصيب الحاسب .الأمر الذي دفعني إلى كتابة هذا المقال الذي أرجوأن يقوم بتقديم إسهام بسيط في الكشف عن فيروسات الحاسب . والنقطة الأولى التي يجب من خلالها تناول هذا الموضوع هي محاولة تعريف فيروس الحاسب . فالفيروس عبارة عن برنامج صغير الحجم ، له القدرة علي التخفي ، تتم زراعته داخل الحاسب بإحدى طرق الانتقال، ليصيب الحاسب بعدوى معينة وفقا للأغراض المصمم من أجلها . ومن خلال هذا التعريف يتضح أن أي برنامج تنطبق علية هذه الصفات يمكن أن نطلق علية فيروس ، وخلافاً عن الشائع بالنسبة للعديد من الكتابات في هذا المجال الذين يرون أن برنامج الفيروس لابد وأن تكون له أهداف تخريبية بالنسبة للجهاز المصاب به ، فأري أن لفظ الفيروس يطلق علي أي برنامج تنطبق علية المواصفات السابقة ، فمثلا هناك بعض الأنواع من ملفات ******s والتي تقوم بإرسالها معظم المواقع علي الحاسب الشخصي للمستخدم دون أن يعلم بها ، هذه الملفات تحتوي على مجموعة من البيانات الخاصة بالمستخدم والتي يمكن للمواقع التي تقوم بإرسالها أن تستخدمها في التجسس علي المستخدم والحصول علي بعض البيانات المتعلقة به مثل المواقع التي يقوم بزيارتها ، والوقت الذي يقضيه في تصفح هذه الموقع وغيرها من المعلومات الهامة عن المستخدم ، هذا لا يعتبر عمل تخريبي بالنسبة للحاسب ، ولكنة في نفس الوقت يعتبر فيروس خطير في بعض الحالات . أما النقطة الثانية في التعريف الخاص بفيروسات الحاسب هي قدرة برنامج الفيروس علي التخفي وإصابة أجهزة الحاسب دون أن يشعر به المستخدم ، وهناك العديد من طرق التخفي التي يصمم بها برنامج الفيروس ليصيب الحاسب وينقل إلية العدوى ، وسوف نقوم بعرض أهم هذه الطرق من خلال التقسيم التالي:

أ- الفيروسات الكتابية
ويقصد بالفيروسات الكتابية أن برنامج الفيروس يقوم بإصابة الحاسب عن طريق تكرار كتابة نفسه علي القرص الصلب أووحدات التخزين الأخرى حتى يصيب أكبر عدد من الملفات ويقوم بتنفيذ المهام المصمم من أجلها . والفيروسات الكتابية يمكن حصرها في نوعان:

الفيروسات التي تصيب الملفات التنفيذية:

ويقصد بالملفات التنفيذية تلك الملفات التي تكون من نوع

EXE (Executable File)

COM (Command File)

BAT (Batch File)


حيث أن تلك الملفات هي المسؤولة عن تشغيل البرامج الموجودة على الحاسب وبالتالي فإن إصابة هذه الملفات يؤدي إلي تعطيل ابرنامج بالكامل – خاصة النوع الأول والثاني ، أما النوع الثالث فيكاد يكون غير مستخدم في نظم التشغيل الحالية – وبرنامج الفيروس عندما يصيب هذه الملفات فإنه أما أن يقوم بحذف الجزء الأول من الملف التنفيذي وكتابة نفسه في هذا المكان ، الأمر الذي يؤدي إلي توقف عمل الملف التنفيذي بشكل جزئي وذلك بسبب الجزء الذي تم حذفه من الملف التنفيذي ، ويعرف هذا النوع من الفيروسات الكتابية بإسم فيروسات الكتابة الفوقية Over Writing Viruses . وأما أن يقوم برنامج الفيروس بنسخ نفسه في الجزء الأخير من الملف التنفيذي وبالتالي فإن الملف التنفيذي يظل يعمل بشكل طبيعي حتى ينشط الفيروس ويقوم بمهامه التخريبية ، ويعرف هذا النوع من الفيروسات الكتابية بإسم فيروسات الكتابة غير الفوقية Non - Over Writing Viruses

__________________

Romyo

فيروسات الكتابة المباشرة:

وهوالنوع الثاني من الفيروسات الكتابية ، وهذا النوع من الفيروسات لا يقوم بنسخ نفسه في ملف عادي مثل النوع الأول ، وإنما يقوم بكتابة نفسه مباشرة علي الأسطوانة الصلبة في مكان محدد يسمي Boot Record Area ، وهذا المكان من القرص الصلب يحتوي على مجموعة من البيانات التي يقوم نظام التشغيل بكتابتها على القرص الصلب والتي تسمى FAT وهي عبارة عن مجموعة من الجداول التي تحتوي علي أماكن وجود الملفات علي القرص الصلب ومساحتها وغيرة من المعلومات الهامة التي يؤدي فقدها إلي عدم قدرة نظام التشغيل علي التعامل مع الملفات الموجودة علي القرص الصلب ، أوبمعني آخر فإن هذا النوع من الفيروسات عندما يصيب الحاسب فإنه يؤدي إلي عدم قدرة نظام التشغيل علي التعامل مع الملفات بالرغم من أن هذه الملفات مازالت موجودة علي القرص الصلب ولم يتم حذفها ، ومن أشهر هذه الفيروسات الذي سبب خسائر فادحة علي مستوى العالم فيروس CIH أوكما أطلق علية فيروس تشر نوبل . والتغلب علي هذا النوع من الفيروسات في الوقت الحالي أصبح أمراً ممكناً ، فمعظم اللوحات الأم الحديثة نجد بها إمكانية تسمح للمستخدم بأن يتحكم في السماح لنظام التشغيل بكتابة أوتعديل ملفات أل FAT ، حيث تقوم اللوحة الأم بإظهار رسالة تفيد بأن أحد البرامج يرغب في تعديل البيانات المخزنة في منطقة Boot Record Area وتسأل المستخدم إذا كان يرغب في السماح بإجراء هذا التعديل أم لا ، فإذا كان المستخدم لا يقوم بأي عملية تستدعي أن يقوم نظام التشغيل بتعديل هذه البيانات ( مثلا في حالة عمل Format للقرص الصلب لابد وأن يتم تعديل هذه البيانات ) ، فلا يجب السماح بإجراء هذه التعديلات

ب- الفيروسات التي تصيب الذاكرة
ملحوظة ليس بالضرورة أن يكون توقف الحاسب بسبب وجود فيروس وإنما هناك العديد من الأسباب يمكن أن تؤدي إلي توقف الحاسب ، ومنها مثلاً عدم كفاءة الذاكرة بالنسبة لحجم البرامج التي يستخدمها الحاسب، أوعدم كفاءة الذاكرة الخاصة بكارت الشاشة

ج- الفيروسات الكامنة
هذا النوع من الفيروسات يعتبر اشتقاق من نوعية الفيروسات المقيمة في الذاكرة ، ففكرة عمل برنامج الفيروس تقوم علي تحميل جزء صغير من البرنامج داخل ذاكرة الحاسب بحيث يستغل أقل مساحة ممكنة من الذاكرة ، أما بقية برنامج الفيروس فيتم كتابته داخل الملف المصاب أوعلي الأسطوانة الصلبة مباشرة ، ويظل برنامج الفيروس في وضع خمول دون القيام بأي نشاط ودون أن يشعر به المستخدم حتى يتحقق شرط معين ، وبمجرد تحقق هذا الشرط يقوم الجزء الذي تم تحمليه في الذاكرة من برنامج الفيروس بإستدعاء باقي البرنامج وتنفيذ المهام المصمم من أجلها ، ومن أشهر هذه الفيروسات ، الفيروس الإسرائيلي ، حيث ظهر هذا الفيروس خلال الثمانينات وأدي إلى إحداث خسائر خاصة في الولايات المتحدة ، حيث صمم هذا الفيروس بحيث يصيب أجهزة الحاسب بالكيفية التي ذكرناها ثم يظل كامناً حتى يتحقق شرط تنشيط البرنامج ، والذي صمم علي تنشيط برنامج الفيروس في أي يوم جمعة يتوافق مع اليوم الثالث عشر من الشهر ، فعند حدوث هذا التوافق يبدأ الفيروس نشاطه ويقوم بإلغاء الملفات الموجودة علي القرص الصلب . وأغلب هذه الفيروسات يعتمد علي وجود شرط زمني حتى يبدأ نشاطه ، وبالتالي إذا إستطعنا أن نتعرف علي هذا الشرط نستطيع تلافي نشاط الفيروس ، كما حدث مع أحد الإصدارات من فيروس CIH حيث أنه كان مصمماً بأن ينشط في السادس والعشرين من شهر فبراير من أي عام ، وبالتالي إذا لم نقم بتشغيل الحاسب في هذا اليوم أوحتى قمنا بتقديم أوتأخير ساعة الحاسب لإستطعنا تلافي هذا الفيروس بأسلوب بسيط ودون حدوث أي ضرر للحاسب

د – فيروسات الشبكة العنكبوتية
وهي أنواع الفيروسات التي تنتقل من خلال برامج البريد الإلكتروني ، وفكرة عمل هذا النوع من الفيروسات تقوم علي استخدام عناوين البريد التي يقوم المستخدم بتسجيلها علي الحاسب حتى يسهل عملية إرسال البريد الإلكتروني ، حيث يقوم مصمم الفيروس بزرع الفيروس داخل رسالة في شكل ملف ملحق بالرسالة ، ويقوم بإرسال هذه الرسالة المصابة إلي مجموعة من الأشخاص الذي يقوم بالحصول علي عناوين البريد الخاصة بهم بشكل عشوائي أومدبر ، وبمجرد أن يقوم الشخص الذي تصله الرسالة بفتح الملف الملحق بها تحدث الإصابة بالعدوى ، وهذا النوع من برامج الفيروس يكون له أكثر من مهمة ، فأول ما يقوم به هوالحصول علي عناوين البريد المخزنة علي الحاسب المصاب ، ثم يقوم بإرسال نفس الرسالة المصابة إلي هذه العناوين ، مما يضمن إستمرار وإنتشار هذا الفيروس خلال أوسع نطاق ممكن ، أما بقية المهام الأخرى فتتعلق بالجهاز المصاب نفسه ، فبمجرد إستخدام الحاسب في إرسال الرسائل المصابة تنتهي مهمة الجهاز المصاب بالنسبة للفيروس ، وبالتالي تبدأ المهام التخريبية علي الحاسب المصاب ، وتكمن خطورة هذا النوع من الفيروسات أن الرسائل التي تصل تكون من أشخاص نعرفهم وبالتالي لا يكون هناك شك من مثل هذه الرسائل ، والتغلب علي هذا النوع من الفيروسات يكون باستخدام أحد البرامج المضادة للفيروسات التي لها القدرة علي العمل من خلال شبكة المعلومات أوباستخدام البريد الذي يتم تأمينه باستخدام برامج التشفير ، والآن وبعد أن تعرفنا علي أهم أنواع الفيروسات التي يمكن أن تصيب الحاسب ، لابد وأن نتعرف علي أهم المظاهر التي يمكن من خلالها معرفة إصابة الحاسب بفيروس معين

زيادة الوقت اللازم لتنفيذ بعض العمليات عن الوقت المعتاد

تأخر في تحميل البرامج إلي ذاكرة الحاسب ، وعدم تشغيلها بالكفاءة المعتادة

ظهور رسائل تفيد بأنه لا توجد ذاكرة كافية لتشغيل البرامج ، بالرغم من أن الذاكرة المتاحة كافية

ظهور رسائل تفيد بأنه لا يوجد تطابق بين المساحة الخالية الموجودة علي القرص الصلب والتي تم تخزينها في ملفات FAT ، والمساحة الحقيقية الخالية علي القرص الصلب ، وذلك عند إستخدام برنامج scan disk . وعادة ما تكون هذه الرسالة بسبب أحد أنواع فيروس CIH والذي لا تستطيع معظم برامج مضادات الفيروسات التعرف علية ، فإذا ظهرت هذه الرسالة ، قم بعمل نسخ إحتياطية للملفات المهمة لأنه بمرور الوقت سيتم تدمير ملفات FAT علي القرص الصلب وبالتالي عدم قدرة نظام التشغيل علي التعامل مع البيانات . ويمكن بإستخدام أحد برامج مضادات الفيروسات الجيدة مثل PC-Cillin الحصول علي نسخة من ملفات FAT فإذا حدث تعديل أوحذف لهذه الملفات أمكن إسترجاعها مرة أخرى

عدم القدرة علي التعامل مع نظام التشغيل بشكل ملائم بالرغم من أنه لا توجد أسباب واضحة لذلك . ( يمكن أن يكون الخلل في نظام التشغيل ناتج عن العديد من الأسباب بخلاف الفيروسات ، مثل تنصيب مجموعة كبيرة من البرامج التي تستخدم نفس الملفات أوالتي تقوم بتعديل بعض البيانات الهامة في الملفات الأساسية لنظام التشغيل )

البرامج الموجودة علي القرص الصلب تشغل مساحة أكبر أوأقل من مساحتها الطبيعية

وجود تناقص مستمر في المساحة الخالية علي القرص الصلب بالرغم من عدم إضافة أي برامج جديدة

وجود بعض الرموز الغير مفهومة أثناء عملية الطباعة والتي تظهر في الورقة المطبوعة ، وتكون عادة في أعلي أوأسفل الورقة المطبوعة

عدم القدرة علي التعامل مع بعض الوحدات الطرفية بالحاسب مثل CD-ROM أوFloppy Drive أوالطابعة ، مع التأكد من أنه لا يوجد سبب واضح لتوقف هذه الوحدات ...

__________________

Romyo

عندما يصيب الفيروس الحاسب ، فإن أول ما يجب القيام به هوإستخدام أحد برامج مضادات الفيروسات والتي يتم تحديثها بإستخدام شبكة المعلومات بشكل دوي حتى تستطيع التعرف علي أحدث أنواع الفيروسات ، وفي حالة الشك بأن أحد الملفات مصاب بفيروس معين ولكن البرنامج المضاد للفيروسات لا يستطيع التعرف علية فيمكن إرسال هذا الملف إلى الشركة المنتجة للبرنامج المضاد للفيروسات حتى يتم الكشف عليه ، وفي حالة الإصابة الفعلية لها الملف ، تقوم الشركة بإرسال مضاد لهذا الفيروس حتى يستطيع المستخدم القضاء علي الفيروس ، ومن برامج مضادات الفيروسات التي يوجد بها هذه الإمكانية برنامج Norton Anti Virus ، وللأسف الشديد لا يوجد الكثير مما يمكن أن يقوم به المستخدم في حالة إكتشاف وجود الفيروس بخلاف إستخدام مضادات الفيروسات ، ولذلك فإن وجود نسخ احتياطية من الملفات المهمة يعد أمر ضروري ، ويفضل أن يتم عمل هذه النسخ علي أقراص مدمجة وليس أقراص مرنة لضمان سلامتها وعدم تعرضها للتلف السريع...

__________________

jomana

Romyo1
معلومات قيمة ومفيدة ومجهود رائع
شكرا لك

Romyo

شكرا ً على مرورك الطيب

تحياتي

__________________