الفيروسات
The Virus
عندما تحدثت التقارير في عام 1989 عن أول فيروسات الكمبيوتر ، خيل للكثيرين (ومن بينهم خبراء في هذا المجال ) أن ذلك مجرد خرافة ابتدعها أحد كتاب قصص الخيال العلمي ، وأن وسائل الإعلام تحاول ترسيخها في أذهان الناس كحقيقة رغم أنها لاتمت إلى الواقع بصلة.
لقد امتدت تلك الظاهرة واتسعت حتى باتت تشكل خطراً حقيقياً يهدد الثورة المعلوماتية التي فجرتها التقنيات المتطورة والمتسارعة في علوم الكمبيوتر .
ونلاحظ أنة من فيروسات بسيطة الضرر والتأثير يسهل اكتشافها والتخلص منها مروراً بفيروسات خبيثة بالغة الأذى تجيد التخفي ويطول زمن اكتشافها إلى فيروسات ماكرة ذكية تبرع في التغير والتحول من شكل لآخر مما يجعل تقفي أثرها وإلغاء ضررها أمراً صعباً.
_ ويتصف فيروس الكمبيوتر بأنه :
برنامج قادر على التناسخ Replication والانتشار أي خلق نسج ( قد تكون معدلة ) من نفسه. وهذا ما يميز الفيروس عن البرامج الضارة الأخرى التي لا تكرر نفسها مثل أحصنة طروادة Trojans والقنابل المنطقية Logic Bombs )
عملية التناسخ ذاتها هي عملية مقصودة وليست تأثيراً جانبياً وتسبب خللاً أو تخزيناً في نظام الكمبيوتر المصاب إما بشكل عفوي أو معتمد
يجب على الفيروس أن يربط نفسه ببرنامج أخر يسمى البرنامج الحاضن Worms التي لا تحتاج إلى ذلك .
ويتكون برنامج الفيروس بشكل عام من أربعة أجزاء رئيسية وهي :
1.
آلية النسخ The Replication Mechanism
وهو الجزء الذي يسمح للفيروس أن ينسخ نفسه وبدونه لا يمكن للبرنامج أن يكرر ذاته وبالتالي فهو ليس فيروساً .
2.
آلية التخفي The Protection Mechanism
وهو الجزء الذي يخفي الفيروس عن الاكتشاف ويمكن أن يتضمن تشفيرالفيروس لمنع البرامج الماسحة التي تبحث عن نموذج الفيروس من اكتشافه
3.
آلية التنيشط The Trigger Mechanism
وهو الجزء الذي يسمح للفيروس بالانتشار قبل أن يعرف وجودة كاستخدام توقيت الساعة في
فيروس MICHELANGELO الذي ينشط في السادس من آذار من كل عام ، وهنالك فيروسات تنتظر حتى تنفيذ برنامج ما عدداً معيناً من المرات كما في فيروس I CELANDأو DISK CRUNCHING الذي يستهدف ملفات EXE . ويصيب كل عاشر ملف يتم تنفيذه ، أو بعد عدة مرات من إعادة إقلاع الكمبيوتر كما في فيروس TAIWAN الذي يسبب تهيئة القرص الصلب بعد ( 90 ) إقلاع للكمبيوتر ، أو عند تنفيذ تسلسل معين من الأوامر FUMANCHU الذي ينشط عند الضغط على CTRL+ ALT + DEL.
4-
آلية التنفيذ The Payload Mechanism
وهو الجزء الذي ينفذه الفيروس عندما يتم تنشيطه وقد يكون مجرد رسالة على الشاشة أو مسح بعض الملفات أو تخريب كامل للقرص الصلب أو مسح تدريجي للبيانات.
_ طرق انتقال الفيروسات ( العدوى )
لا يمكن للفيروسات أن تنشأ من ذاتها أو بمرور الزمن ( كظهور البكتيريا في البن) ويمكن أن تنتقل من كمبيوتر مصاب لآخر سليم بواسطة الأقراص المرنة أو عبر خطوط الاتصالات أو ضمن الشبكات وبذلك يمكنها أن تنتقل من جهاز لآخر أو من شركة لأخرى أو من بلد لأخر . ويمكننا أن نميز فئتين من فيروسات الكمبيوتر تبعاً لآلية العدوى وانتشار الفيروس :
1-
فيروس العدوى المباشرة Direct Infector
عندما يتم تنفيذ برنامج مصاب بفيروس من هذا النوع فإن ذلك الفيروس يبحث بنشاط عن ملف أو أكثر لينقل العدوى إليه ، ويمكن أن يقتصر البحث على الدليل أو الفهرس الحالي أو أن يتعدى ذلك ليشمل جميع الأدلة الفرعية الموصوفة في جملة المسارPATH وعندما يصيب أحد الملفات بالعدوى فإنه يقوم بتحميلة إلى الذاكرة وتشغيله وهذا النوع قليل الانتشار لأن آلية العدوى ليست فعالة كثيراً ، كما في فيروس VIENNA الذي يصيب الملفات من نوع COM . ويخربها بشكل عشوائي بأن يستبدل الرموز الخمسة الأولى بقفزة لإعادة إقلاع الكمبيوتر .
2-
فيروس العدوى غير المباشرة Indirect Infector
عندما يتم تنفيذ برنامج مصاب بفيروس من هذا النوع فغن ذلك الفيروس ينتقل إلى ذاكرة الكمبيوتر ويستقر فيها ويتم تنفيذ البرنامج الأصلي ثم يصيب الفيروس بالعدوى كل برنامج يتم تحميلة في الذاكرة بعد ذلك إلى أن يتم قطع التغذية الكهربائية عن الكمبيوتر أو إعادة تشغيله . وجميع فيروسات قطاع بدء التشغيل Boot Sector Viruses هي من هذا النوع. إن الذي تستطيع فيروسات الكمبيوتر عملة عندما يعود تنشيطها يعود لكاتب برنامجها ،وتكون النتيجة في حالات عديدة غير مؤذية إطلاقاً مثل كتابة رسالة ما على الشاشة كما في فيروس SHAKE الذي يظهر عبارة “Shake well before use" عند تنفيذ ملف COM. أو إسماع نغمة موسيقية كما في فيروس FRERE JACQUES الذي يعزف هذه الموسيقى أيام الجمعة.
وقد يكون التأثير ضاراً كما في فيروس FRIDAY 13 أو JERUSALEM الذي يصيب الملفات من نوع COM.
ويحذف أي ملفات تنفذ يوم الجمعة الثالث عشر من أي شهر . ويمكن في بعض الحالات أن يتنوع سلوك الفيروس كما في فيروس C HRISTMAS الذي يدمر جدول مواقع الملفات FAT إذا نفذ أي ملف مصاب بها في الأول من نيسان بينما يعرض صورة لشجرة عيد الميلاد على الشاشة إذا نفذ الملف المصاب به بين 24 كانون الأول وبداية العام الجديد . أما الفيروسات الأكثر خطورة فتسبب الضرر في الخفاء بدون أن تسمح لك بمعرفة ما يحدث وعندما يتم كشفها تكون تأثيراتها الضارة المتراكمة كارثة حقيقية حتى لو كنت تحتفظ بنسخ احتياطية بشكل منتظم كما في فيروس D ATACRIME
_ تصنيف الفيروسات حسب خطورتها
يمكن تصنيف الفيروسات حسب شدة خطورتها والضرر تحدثة في سلم من ست درجات قياساً لمقدار لزمن اللازم لإلغاء التخريب الذي تحدثة وهي :
1.
العادي Trivial
لا يفعل الفيروس ذو الضرر العادي شيئاً سوى التكاثر REPLICATION ويمكن أن لا يشعرنا بوجودة ولا يسبب ضرراً أو تخريباً معتمداً للمعلومات في الأقراص . وحالما يتم تشخيصة و اكتشافه فكل ما يتوجب هو حذف الفيروس فقط وبجهد قليل باستخدام أحد البرامج المضادة للفيروسات Anti-Virus Programs كما في فيروس STUPIDالذي لا يفعل شيئاً سوى البحث عن ملف نظيف وإصابته .
2.
الثانوي Minor
يسبب للفيروس ذو الضرر الثانوي تغيراً أو مسحاً لواحد أو أكثر من الملف القابلة للتنفيذ Executable والتي تصاب بالفيروس. وبما أن هذه الملفات قد أخذت أساساً من الأقراص الأصلية المقدمة من قبل منتجي البرامج فإن إعادة تركيبها على الكمبيوتر بعد إزالة الفيروس هي عملية بسيطة نسبياً كما يمكن استرجاعها أو من النسخ الاحتياطية للبرنامج كما في فيروس AIDS الذي يصيب الملفات من نوع COM . ويكتب فوق ال13K الأولى منها .
3.
المعتدل Moderate
يمكن للفيروس ذو الضرر المعتدل تدمير جميع الملفات الموجودة على القرص الصلب غالباً عن طريق إعادة تهيئة r formatting أو استبدال المعلومات بكتابة معلومات أخرى تافهة فوقها . كما في فيروس DISK KILLER الذي يسبب إعادة تهيئة القرص الصلب عندما يبلغ عدد الأقراص المرنة التي تمت إصابتها عدداً محدداً أو فيرس COLUMBUSالذي يفعل الشيء ذاته إذا تم تنفيذ ملف COM مصاب في تاريخ 12 أكتوبر .وبالرغم أن الكثيرين قد يرون أن هذه المشكلة خطيرة إلا أن مسح جميع الملفات لا يشكل ضرراً حقيقياً طالما كانت عملية النسخ الاحتياطي BACKUP تتم بانتظام .
4.
الرئيسي Major
يؤدي الفيروس ذو الضرر الرئيسي إلى تخريب المعلومات بشكل تدريجي وبطيء عبر فترة من الزمن كنسخ رسالة معينة أو تشكيل من الرموز في الملفات وبشكل عشوائي ، وبالرغم من أن هذا التخريب قد يجد قد يجد طريقة للنسخ الاحتياطية إلا أنه مرئياً بسهولة بعد تشخيص و معرفة الإصابة مما يمكن من تحديد الملفات المتضررة ويسهل إصلاحها كما في فيروس RIPPER الذي يتسبب في واحدة من كل ألف عملية كتابة على القرص تسجيل المعلومات بشكل خاطئ مما يؤدي إلى تخريب تدريجي للنظام.
5.
الشديد SEVERE
يتمكن الفيروس ذو الخطر الشديد من إحداث تغيرات ذكية وبارعة للبيانات دون أن يترك أثراً يشير إلى التغير الحاصل ، كأن يقوم بشكل عشوائي بمبادلة كتل من المعلومات المتماثلة في الطول بين بعض الملفات وإذا تأخر اكتشاف الإصابة به أكثر من بعضة أيام فإن هذا النوع من الضرر يستحيل إزالته لأن المعلومات الأصلية لن تكون موجودة في ذلك الوقت ولأن الضرر قد أستمر لفترة زمنية قبل تشخيص الفيروس فإن النسخ الاحتياطية ستكون مخربة على الغالب ولا يمكن الوثوق بها .
6.
اللامحدود Unlimited
يستهدف الفيروس ذو الضرر اللامحدود شبكات الكمبيوتر Network ويمضي أغلب الوقت في محاولة معرفة كلمة السر Password للمستخدمين الأكثر فاعلية ضمن الشبكة مثل المشرف Supervisor وعندما يتمكن من الحصول عليها فإنه يمررها إلى واحد أو أكثر من مستخدمي الشبكة على أمل أنهم سوف يستخدمونها لأغراض سيئة. وعندما يفقد الشخص المؤهل سيطرته على كلمة السر ورقم الحساب ويتم نقلها إلى شخص آخر يصبح هو المتحكم بكامل الشبكة.
_ تصنيف الفيروسات حسب منطقة الإصابة :
يمكن تقسيم الفيروسات في فئتين وفقاً للمنطقة التي يصيبها الفيروس وهما .
1. فيروسات قطاع بدء التشغيل Boot Sector Viruses
يمكن لهذا النوع أن يسبب العدوى إذا تم بدء التشغيل انطلاقاً من القرص المصاب ، ولايتحتم أن يكون ذلك القرص هو قرص نظام System Disk . ولأن المساحة التي يحتلها برنامج بدء التشغيل Boot Program صغيرة جداً فإن برنامج الفيروس يعتمد إلى نقلة إلى مكان آخر على القرص ويحل محله ليضمن لنفسه أولوية التنفيذ . كمثال فإن فيروس STONED يضع برنامج بدء التشغيل القديم في نهاية فهرس الملفات وبالتالي لا تمكن ملاحظته حتى يصل عدد الملفات على القرص العدد الأعظم المسموح ، بينما يحتل فيروس YALE القطاعات الأخيرة من المسار الأخير على القرص ولا تمكن ملاحظته إلا عندما يمتلئ القرص بالكامل أما فيروس DEN ZUCK فإن يهيئ مساراً إضافياً يختبئ فيه خارج المنطقة المعتادة على القرص وبالتالي تتعذر ملاحظته بالطرق العادية ، بينما تبحث بعض الفيروسات عن مكان فارغ على القرص وتحشر نفسها فيه ثم تسمه بعلامة عدم الصلاحية للتخزين BAD SECTORS .
2. فيروسات البرامج Program Viruses
يقوم هذا النوع من الفيروسات بلصق نفسه بالملفات التنفيذية من نوع COM أو EXE أو BAT أو SYS وغيرها ، وتكون العدوى بهذا النوع فعالة وسريعة وفيروسات هذا النوع أكثر تنوعاً من فيروسات قطاع بدء التشغيل إلا أنها أقل انتشاراً . ويمكن تصنيف فيروسات البرامج في أربع مجموعات هي :
• الفيروسات المتطفلة Parasitic Viruses
وهي الفيروسات التي تلصق نفسها بالملفات لكي تتكاثر وتبقى الملف نفسه بحالة سليمة في الغالب لأنها تضيف نفسها إما في بداية الملف Prepending Virus أو في نهايته Appending Virus والملفات من نوع COM يتم تحميلها للذاكرة ويبدأ تنفيذها عند أول أمر في البرامج لذا فإن الفيروسات التي تستهدفها تقوم بوضع نفسها قبل بداية البرنامج وعندما يتم تشغيل البرنامج فإن الفيروس ينفذ أولاً .
أما الملفات من نوع EXE ففيها جزء يسمى المقدمة Headerفي بداية الملف يحدد حجم البرنامج وعدد الأقسام المستخدمة وطريقة ربطها معاً والمكان الذي سيبدأ التنفيذ عنده ، لذا فإن الفيروسات التي تستهدفها تقوم بحفظ المحتوى الأصلي لهذه المقدمة وتنسخ نفسها في نهاية الملف وتعدل المقدمة لتضمن تحميل الفيروس كقسم من الملف وتنفيذه أولاً .
وتوجد حالة نادرة هي للفيروس COMMAND BOMBER الذي يبحث عن مساحات فارغه ضمن الملف المستهدف ويخزن نفسه في عدة مناطق متفرقة من الملف .
• الفيروسات المرافقة Companion Viruses
تعتمد هذه الفيروسات على قاعدة الأسبقية في التنفيذ ، فعند وجود ملفين تنفيذين من نوع COM . و EXE . لهما نفس الاسم فإن الملف COM . هو الذي سينفذ أولاً إذا لم يذكر امتداد الملف عند طلب تنفيذه ، وتتمكن من نقل العدوى بدون تغير طول الملف عن خلق ملف جديد له نفس الاسم ولكن بامتداد COM . وعند تنفيذ الملف المصاب يقوم الفيروس بالبحث عن ملف EXE. جديد وإصابته ثم يحمل الملف المطلوب كما في فيروس AIDS II ، وكذلك يمكنها إصابة الملفات الدفعية BAT . بخلق ملفات مرافقة من نوع COM . EXE or. .
• الفيروسات الرابطة Linking Viruses
.
تصيب هذه الفيروسات البرامج بتغير المعلومات في جدول مواقع الملفات بحيث تبدأ كل البرامج المصابة من نفس الموقع وهو عادة وحدة التخزين الأخيرة Cluster في القرص والتي تتضمن نص الفيروس مما يضمن للفيروس انتشاراً سريعاً كما في فيروس DIDII .
• الفيروسات الماكرو Macro Viruses
تصيب هذه الفيروسات الملفات والوثائق المكتوبة تطبيقات الكمبيوتر التي تتضمن لغات ماكرو مثل مايكروسوفت وورد وإكسيل .ففي معالج النصوص WORD . ينتقل الفيروس الماكرو من وثيقة مصابة عند فتحها ضمن البرنامج ويصيب القالب الرئيسيNORMAL . DOT وبعدها ينتقل إلى جميع الوثائق التي يتم فتحها أو إنشاؤها . وأول فيروسات هذا النوع هو فيروس CONCEPT . أما في برنامج Excel فينتقل الفيروس من جدول مصاب عند فتحه ويصيب القالب الرئيسي للبرنامج PERSONAL. XLSوبعدها ينتقل ليصيب الملفات بنفس الطريقة ، وأول فيروسات هذا النوع هو فيروس LAROUX . التقنيات التي تستخدمها الفيروسات لمنع اكتشافها :
•الخداع : وهي عملية تمويه تستخدمها الفيروسات من أجل إخفاء وجودها . ومثال على ذلك إذا حاولت قراءة المعلومات في قطاع بدء التشغيل لقرص مصاب بفيروس BRAIN