VIROUSESVIROUSESVIROUSESVIROUSESVIROUSESVIROUSESVIROUSESVIROUSESVIROUSES

VIRUSES:

أولا:مقدمة
في منتصف الثمانينات تناقلت وكالات الأنباء ما نشرته صحيفة نيويورك تايمز عن قيام طالب أميركي في جامعة كورنيل بنيويورك اسمه روبرت موريس وعمره 23 عاما بزرع فيروس وبائي في شبكة المعلومات القومية المختزنة في أنظمة الكمبيوتر واجتاح هذا الفيروس 16 ألف شبكة كمبيوتر في كل أنحاء أميركا مما أصابها بالخلل وقد وصفت هذه الحادثة بأنها جريمة العصر.
واعترف الطالب بأنه زرع الفيروس وأنه اعده بصورة يتعذر معها علميا تبع مصدره ولكنه كشف نفسه عندما أخبر أحد اصدقائه بأن البرنامج الذي عطل عمل الآلاف من أجهزة الكمبيوتر في كافة انحاء العالم كان من اعداده هو.
وكان الفيروس الذي زرعه من النوع الذي يسمى بالفيروس النائم (sleeping virus) والذي ينشط في وقت محدد وفي وجود شروط معينة فينتشر في شبكات الكمبيوتر ويخرب البرنامج الأصلي ويفسد ما تحتويه هذه الشبكات من معلومات.
وقد وصف الخبراء هذا الفيروس بأنه خلية خبيثة تم بثها في الكمبيوتر فأصابت الأنظمة المتصلة به بالخلل الذي بدأ يظهر على 60 ألف شاشة و550 مؤسسة ومعهد علمي.
وبعد مرور يوم كامل تم تشخيص الفايروس المخرب والعثور على الدواء وتسبب هذا الفايروس في إحداث فوضى كبيرة ولكن لحسن الحظ لم يصحبها فقدان لأي برنامج هام أو الوصول إلى اي معلومات حساسة من مراكز البحث العلمي التابعة لوزارة الدفاع الأميركية (البنتاغون)
والمصالح الحكومية والجامعات ووكالة الفضاء الاميركية ناسا انما اقتصر الأمر على إفساد بعض البرامج التي لا تتمتع بقدر كبير من الحماية.
ولكن هذا لا يمنع ان الخسائر التي سببتها لعبة (موريس) الفايروسية أدت إلى تأخير الأبحاث آلاف الساعات وإعادة البرمجة بتكاليف تصل إلى عدة ميلايين من الدولارات (قدرتها بعض المصادر بما لا يقل عن 100 مليون دولار).
وقد كشفت هذه الحادثة عن كارثة حقيقية وخطر يهدد مستقبل اجهزة الكمبيوتر وبالتالي يهدد بناء المجتمع ذاته حيث لا يمكن تصور مجتمعا حديثا بدون أجهزة كمبيوتر.
ثانيا:تعريف الفايروس
هو عبارة عن برنامج مكتوب بلغة برمجة ما قادر على التحكم ببعض البرامج بحيث يؤدي إلى خلل في النظام أو في برنامج تطبيقي ما أو في ملف معطيات ومنها فايروس CIH الذي يقوم باتلاف ملف FAT وضياع المعلومات وتصفير BIOS مع العلم انه يمكن استرجاع المعلومات ببرامج خاصة لذلك مثل E.D.R.
ثالثا:خصائص الفايروس
القدرة على التخفي
الانتشار
القدرة التدميرية
ملاحظة:
البرامج المصابة بالعدوى تستطيع القيام بالخطوات الثلاث السابقة
لا يمكن للفايروس ان يخرب جزء مادي (hardware)
بشكل عام عندما نعلم ان هناك فايروس نطفئ الحاسب ونقوم بالاقلاع من قرص اقلاع انتي فايروس وبأحدث نقطة منه.
رابعا:كيف تحدث العدوى بالفايروس
غالبا ما تحدث العدوى بالفايروس عن طريق الأقراص المرنة
(floppy disk) والتي تمت اصابتها في حاسب مصاب بعدوى الفايروس وبالتالي فإن الحاسب المصاب نقل العدوى الى القرص المرن والقرص المرن بدوره نقل العدوى إلى الحاسب السليم.
وهنا يجب ان نعلم أن القرص المرن المصاب بالعدوى لن يسبب عدوى الحاسب السليم إلا عند محاولة تشغيل برنامج ما من القرص المرن وهذا يعني انه بامكاننا وضع القرص المصاب في سواقة الأقراص المرنة وفحص القرص ببرنامج فحص خاص للفايروسات دون أي خوف من اصابة الحاسب بالعدوى
خامسا:مراحل العدوى
يمكننا ان نلاحظ بطريقة مبدأية أربعة مراحل يمر بها الفايروس بعد إصابة البرنامج بالعدوى
بعض هذه المراحل اختياري (حسب تخطيط كاتب برنامج الفايروس) وبعضها اجباري
(لا يمكن اعتبار البرنامج فايروس ما لم يمر بها)
وهذه المراحل هي:
1.مرحلة الكمون(dormancy phase)اختيارية:
وهي فترة تلي العدوى مباشرة ولا يظهر أي تأثير لبرنامج الفايروس على عمل البرنامج المصاب ويلجأ مبرمجو الفايروس إلى كتابو برامجهم بحيث تمر بهذه المرحلة حتى لا يلحظ المستخدم أي تغيير في عمل البرامج بعد الإصابة بالعدوى.
وفي بعض الحالات تستمر هذه المرحلة لفترة زمنية طويلة وفي هذه المرحلة لا ينتشر الفايروس ولا يسبب أي ضرر.
2.مرحلة الانتشار (propagation phase)اجبارية:
وهي مرحلة هامة وضرورية لتكاثر الفايروس ولا يحتاج برنامج الفايروس في هذه المرحلة أن يسبب أي أضرار بل يكون غرضه الأساسي الانتشار واصابة أكبر عدد ممكن من البرامج وهذه المرحلة إجبارية إذ لا يمكن تخيل برنامج فايروس بدون وجود مرحلة الانتشار.
3.مرحلة جلب الزناد(triggering phase)اختيارية:
ويمكن اعتبارها مرحلة شرطية يتوقف تنفيذها على تحقق شرط خاص (يحدده كاتب برنامج الفايروس) كتاريخ معين او أي شرط آخر يضعه المبرمج وعند تحقق هذا الشرط يتم الانتقال إلى المرحلة الأخيرة وهي مرحلة الأضرار.
4.مرحلة الأضرار(damaging phase)اجبارية:
وهي المرحلة التي يتم فيها تنفيذ المهام التخريبية التي كلف بها الفايروس.
سادسا:تصنيف الفايروسات:
1.فايروسات قطاع التشغيل (BOOT SECTOR):
تصيب هذه الفايروسات قطاع التشغيل في القرص المصاب وهو الجزء الذي يقرأه النظام عند كل مرة يتم فيها طلب تشغيل الجهاز.
2.فايروسات الملفات:
تلصق هذه الفايروسات نفسها مع ملفات البرامج التنفيذية مثل command.comأوwin.com .

3.الفايروسات المتعددة الملفات:
تنسخ هذه الفايروسات نفسها في صيغة أولية ثم تتحول إلى صيغ أخرى لتصيب ملفات أخرى.
4.الفايروسات الخفية:الأشباح:
وهذه فايروسات مخادعة:إذ أنها تختبئ في الذاكرة ثم تتصدى لطلب تشخيص وفحص قطاع التشغيل ثم ترسل تقرير مزيف إلى السجل بان القطاع غير مصاب.
5.الفايروسات المتعددة القدرة التحولية:
وهذه الفايروسات لها القدرة الديناميكية على التحول وتغيير الشيفرات عند الانتقال من ملف إلى اخر لكي يصعب اكتشافها.
6.فايروس الماكرو:
وهذا النوع من الفايروسات يختبئ في ملفات الماكرو للوورد وتسمح تعليمات التهيئة المتطورة بان تنفذ تلقائيا ضمن أي صيغة تختارها.
كما يسمح word basic بالوصول المباشر لملفات النظام مما يجعل فايروس الماكرو قادرا على محو ملفات النظام أو حتى إعادة تهيئة النظام كاملا(او ما يعرف بعملية الفرمتة).
سابعا:بعض الفايروسات الشهيرة
1.الفايروس الاسرائيلي(Israeli virus):
اكتشف هذا الفايروس لأول مرة طالب في الجامعة العبرية بالقدس إذ لاحظ وجود خلل في شبة الكمبيوتر المركزية في الجامعة وبعدها انتشرت الشكوى من هذا الفايروس في كل أنحاء العالم.
وقد وضع معد هذا الفايروس برنامجه بصورة معقدة بحيث ينشط بصورة ملحوظة في 13 من كل شهر وفي أيام الجمعة وإذا توافق هذان العاملان فانه إما يفسد الأقراص بما تحتويه من برامج وبيانات أو يفسد أي برنامج يتم تشغيله وأول توافق بين الشرطين(يوم الجمعة الثالث عشر من الشهر) حدث يوم الجمعة 13 مايو 1988.
2.الفايروس الباكستاني(Pakistani virus ):
وقد قام باعداد هذا الفايروس اخوان من مدينة لاهور بباكستان كانا يعملان ببيع برمجيات شركة مايكروسوفت وكانا يبيعان نسخ مقلدة (ملوثة بالفايروس الذي ابتكراه) من انتاج الشركة بسعر رخيص جدا مما دفع الكثير من الأجانب إلى شراء هذه النسخ المقلدة الرخيصة وتسبب ذلك فيما بعد في انتشار هذا الفايروس في اوروبا وأميركا ثم في كل أنحاء العالم.
ويبدو ان الدعاية كانت كل ما يهدف إليه الأخوان من نشر هذا الفايروس لأن كل ضرره يتلخص في اظهار قطاعات معينة bad sectors في الاسطوانة بينما هي قطاعات سليمة كما أن هذا الفايروس الغريب يعلن عن ظهور نفسه على الأقراص المصابة عند قراءتها وهو لا يتسبب أي فقد في نوع البيانات او تدمير أي برامج.
ويؤكد الغرض الدعائي للفايروس انه إنما يبدأ في العمل يوجه رسالة ترحيب على الشاشة وبعض الرسائل التحذيرية أي أنه فايروس لا يلجأ لاخفاء نفسه
3.فايروس الكرة النطاطة (bouncing ball virus):
هذا الفايروس اكتشف لأول مرة في ايطاليا ويتميز بظهور كرة نطاطة صغيرة تقفز على شاشة الكمبيوتر عندما ينتقل التحكم إلى الفايروس.
وهذا الفايروس يأخذ اشكال متعددة ويأتي تاثيره الضار من ابدال الرموز الموجودة في ملفات البيانات برموز اخرى ويتم ذلك بصورة بطيئة ولكن مستمرة ومتزايدة.
والخطورة ان هذا التغيير لا يلحظ إلا بعد مرور فترة يكون قد تم فيها افساد البيانات في هذه الملفات بالفعل.
4.فايروس عيد الميلاد(Christmas virus):
تم اكتشاف هذا الفايروس لأول مرة في ديسمبر 1978 في شبكة الابحاث الاوربية الاكاديمية ولكن سرعان ما انتشر حتى انه ظهر في اجهزة الكمبيوتر في طوكيو.
ويتميز هذا الفايروس برسم شجرة عيد الميلاد على شاشة الكمبيوتر بينما يقوم بنسخ نفسه وإصابة الجهاز بالعدوى.
5.فايروس الدانوب الأزرق(Danube virus):
هذا الفايروس من النوع المقيم في الذاكرة وعندما ينتقل إليه التحكم يقوم بعزف مقطوعة الدانوب الأزرق (أو أي من ثلاث مقاطوعات موسيقية أخرىمبرمجة فيه) لمدة دقيقة وإذا جرت أي محاولة لتشغيل برنامج تنفيذي يقوم الفايروس بإصابته بالعدوى ثم يبدأ بالعزف مرة اخرى.
ثامنا:الوقاية من الفايروسات
للوقاية من الاصابة بالفيروسات هناك مستويات ثلاثة:
أولا:الوقاية بفحص الأقراص المرنة الغريبة:
يمكن الوقاية من الفايروسات بفحص جميع الأقراص المرنة الغريبة عن طريق برامج فحص الفيروسات الغريبة وأشهرها: scan من مكافي أو tool kit من دكتور سلمون.
ويجب الحصول على احث الاصدارات من هذه البرامج حتى يستطيع برنامج فحص الفايروس من مسح الفايروسات الحديثة.
ثانيا:الوقاية باستخدام برامج التطعيم والمصل
(vaccine and serum programs)
فبرنامج التطعيم (vaccine program) من البرامج المقيمة في الذاكرة وعند حدوث أي محاولة للوصول والتعامل مع اجهزة ادارة الاقراص (سواء من جانب المستخدم أو عن طريق الفايروس الذي يحاول نشخ نفسه في الملفات التنفيذية) يقوم البرنامج بمنع الوصول إلى أجهزة ادارة الأقراص ويرسل رسالة تحذيرية على شاشة الكمبيوتر مصحوبة بصفير حاد وهذه الرسالة تنبه المستخدم إلى أن هناك للكتابة على الأقراص ويسأل برنامج التطعيم على رغبة المستخدم في السماح باتمام الكتابة من عدمه.
اما برنامج المصل (serum program) فيعتمد على قدرة البرنامج على تميز الفايروس من علامته (virus marker) والتخلص منه ثم وضع هذه العلامة في البرامج السليمة حتى تبدو مصابة بالنسبة للفايروس فلا يقوم بعدواها بذلك تكتسب اتلبرامج السليمة المناعة ضد الفايروس.
ثالثا:الوقاية باستخدام البرامج صائدة الفايرووس: (virus hunter programs)
عندما تتم اصابة برنامج ما من فايروس معين فإن هذا الفايروس يميز البرنامج الذي أصابه بعلامة تدعى: علامة الفايروس
وبالتالي فهناك فرصة جيدة للبحث عن هذه العلامة في بداية كل برنامج عن طريق البرامج الصائدة للفايروس فإن وجدت هذه العلامة قام البرنامج الصائد للفايروسات بمسح الفايروس قبل أن ينتشر غلى بقية البرامج.
نصيحة هامة:
ننصح بعمل نسخ احتياطية (back up copies) للبرامج والملفات الهامة وبالتالي وجود نسختين من هذه البرامج والملفات فنقوم بحفظ نسخة احتياطية بعيدا عن الاستعمال (بعد التأكد من خلوها من الفايروسات) والعمل على النسخة الأخرى فإن أصابتها العدوى قمنا بالحصول على نسخة سليمة من النسخة الاحتياطية.


تاسعا:اجراءات وقف انتشار الفايروس بعد الاصابة بالعدوى
1.قطع مصدر الطاقة عن الحاسب عندما تكتشف الإصابة مباشرة وهذا سيؤدي إلى منع انتشار الفايروس كما سيؤدي إلى التخلص من الفايروسات الموجودة في الذاكرة.
2.اعد تشغيل الحاسب مرة ثانية.
3.شغل برنامج مسح الفايروسات الموجود على حاسبك وافحص سواقة الأقراص الصلبة.
4.عند انتهاء عملية البحث تظهر رسالة تعلمك بمسح الفايروس أو عدم مسحه (حسب مقدرة برنامج فحص الفايروسات) فإن تم مسح الفايروس فقد استطعت ايقاف انتقال العدوى وإن تعذر ذلك فعليك الحصول على نسخة حديثة من برنامج فحص الفيرسات لديك وإعادة المحاولة مرة أخرى.