فيروس الحاسوب

موضوع: فيروس الحاسوب الأحد مايو 18, 2008 11:54 pm

عبارة عن برنامج يدخل الحاسوب ليدمره أو يشوه البيانات والبرامج المخزنة داخل الحاسوب .
و يتصف فيروس الكمبيوتر بانه :
برنامج قادر على التناسخ replication و الانتشار اي خلق نسخ(قد تكون معدلة) من نفسه. و هذا ما يميز الفيروس عن البرامج الضارة الاخرىالتي لا تكرر نفسها مثل احصنة طروادة Trojans و القنابل المنطقية logic bombs.
عملية التناسخ ذاتها هي عملية مقصودة و ليست تاثيرا جانبيا و تسبب خللا او تخريبا في نظام الكمبيوتر المصاب اما بشكل عفوي او متعمد.
يجب على الفيروس ان يربط نفسه ببرنامج اخر يسمى الحاضنhost بحيث ان اي تنفي لذلك البرنامجسيضمن تنفيذ الفيروس.
و يتكون برنامج الفيروس بشكل عام من اربعة اجزاء رئيسية و هي:
الية التناسخ The Replication Mechanism
و هو الجزء الذي يسمح للفيروس ان ينسخ نفسه و بدونه لا يمكن للبرنامج ان يكرر ذاته و بالتالي فهو ليس فيروسا.
الية التخفي The Protection Mechanism
و هو الجزء الذي الذي يخفي الفيروس عن الاكتشاف و يمكن ان يتضمن تشفير الفيروس لمنع البامج الماسحة التي تبحث عن نموذج الفيروس من اكتشافه
الية التنشيط The Tigger Mechanism
و هو الجزء الذي يسمح للفيروس بالانتشار قبل ان يعرف وجوده كاستخدات توقيت الساعة في الكمبيوتر كما في فيروس mechelangelo الذي ينشط في السادس من اذار من كل عام و هناك فيروسات تنتظر حتى تنفيذ برنامج ما عددا معينا من المرات كما في فيروس celand او disk crunching الذي يستهدف ملفات exe و يصيب كل عاشر ملف يتم تنفيذهاو بعد عدة مرات من اقلاع الكمبيوتر او عند تنفيذ تسلسل معين من الاوامر كما في فيروس fumanchu الذي ينشط عند الضغط على ctrl+alt+del
الية التنفيذ The Play Mechanism
و هو الجزء الذي ينفذه الفيروس عندما يتم تنشيطه و قد يكون مجرد رسالة على الشاشة او مسح بعض الملفات او تخريب كامل للقرص الصلب او مسح تدريجي للبيانات
اوجه الشبه بين الفيروس العادي وفيروس الحاسوب :
1. العدوى .
2. كلاهما يلحق الضرربالمصاب .
3. وجود أعراض للمصاب بالفيروس .
4. التكاثر في الفيروس العادي والتناسخ في البرمجة .
5. كلاهما لا يعمل إلا بشروط معينة .
طرق انتقال فيروس الحاسوب :
1. وسائط التخزين المساعدة مثل الاقراص .
2. الشبكات . (للمزيد من المعلومات)
ما هو الهدف من كتابة الفيروس ؟
1. الحد من نسخ البرامج كما في فيروس باكستاني أو Brain وهو اول فيروس كمبيوتر ظهورا وانتشارا .
2. البحث العلمي كما في فيروس Stoned الذي كتبه طالب دراسات عليا في نيوزيلاندا وسرق من قبل أخيه الذي أراد أن يداعب أصدقائه بنقل الفيروس إليه .
3. الرغبة في التحدي وأبراز المقدرة الفكرية من بعض الاشخاص الذي يسخرون من ذكائهم وقدراتهم بشكل سيء مثل فيروس V2P الذي كتب كإثبات ان البرامج المضادة من نوع معين غير فعالة .
4. الرغبة في الانتقام م قبل بعض المبرمجين المطرودين من أعمالهم والناقمين على شركائهم ويصمم الفيروس في هذه الحاله بحيث ينشط بعد ةتركهم العمل بفترة كافية اي تتضمن قنبلة منطقية موقوته.
5. التشجيع على شراء البرامج المضاده للفيروسات اذ تقوم بعض شركات البرمجة بنشر فيروسات جديدة ثم تعلن عن منتج جديد لكشفها . (للمزيد من المعلومات)
الظواهر الدالة على وجود الفيروسات :
إن وجد عارضين أوأكثر من العوارض الدالة على وجود فيروس فإمكانية وجود الفيروس في جهازك تصبح أكبر ومن هذه العوارض :
1. بطيء في الجهاز وذلك بسبب :
* الفيروسات تتحكم بإجراءات التنفيذ والتشغيل للجهاز والبرامج فيزي من التعليمات .
* الفيروس ياخذ حيز في الذاكرة الرئيسية RAM . (للمزيد من المعلومات)
2. انخفاض سعة الذاكرة الرئيسية بشكل مفاجيء مما يؤدي إلى عدم تنفيذ البرامج وبالذات البرامج التي تأخذ سعة عالية في RAM .
3. انخفاض سعة القرص الصلب بشكل ملحوظ وذلك بسبب تناسخ الفيروسات
4. تغير شكل بعض أيقونات الملفات .
5. تغير حجم بعض الملفات وذلك بسبب تضمين الفيروس ضمن هذه الملفات .
6. تنفيذ البرامج يستغرق وقتا أكثر من المعتاد .
7. ظهور رسائل خطأ غير مألوفة وخاصة عند ظهور رسائل تشير إلى أستخدام الاقراص والبرامج بشكل متكرر دون أن يتم استعمالها من قبل المستخدم .
ماذا تفعل عند اكتشافه في الكمبيوتر ؟
الوقاية من الفيروسات
تصنيف الفيروسات
التقنيات التي تستخدمها الفيروسات لمنع اكتشافها

[البرامج المستخدمة للحماية من الفيروس

تختلف البرامج المضادة للفيروسات بحسب الطريقة التي تنتهجها في البحث عن الفيروسات و تميز الطرق التالية:
1. برامج الماسحات Scanners
يبحث هذا البرنامج عن وجود تسلسل محدد من الرموز التي تميز كل فيروس signature و التي لا يمكن ان توجد في البرامج العادية و تكون مخزونة في قاعدة معلومات مرفقة بالبرنامج و ذلك بشكل مشابهلاستخدام البصمات للكشف عن المجرمين بطابقة البصمة المطلوبة مع بصمات العديد من المشتبه بهم.
ومما يعيب هذا النوع من البرامج عدم قدرته على اكتشاف الفيروسات الجديدة التي لم يتم تحليلها و معرفة الرموز المميزة لها لذا من الضروري تحديث البرنامج بشكل دائم و دوري.

2. برامج كشف التغيير Change Detection
يكشف البرنامج التغيرات التي تطرا على الملفات او على قطاع بدء التشغيل لاكتشاف الفيروسات القديمة و الجديدة و ذلك باستخدام تقنية تدقيق المجموع checksum و التي تعتمد على اجراء فحص شامل للملفات و تسجيل اطوالها و خصائصها في ملف خاص و مطابقتها لاحقا مع الاطوال الحالية
و مما يعيب هذا النوع من البرامج فشله في اكتشاف الفيروسات المستبدلة التي تحافظ على طول الملف و الفيروسات المرافقىة التي لا تغير الملف الاصلي كما ان بعض الفيروسات تستطيع المحافظة على تاريخ تسجيل الملف بدون تعديل و لذا تعتمد بعض البرامج على تقنيات اكثر تعقيدا من اجل اختبار الفائض الدوري
(cyclic redundancy check) باستخدام مصفوفات البيانات

3. برامج المراقبة Monitoring
تقوم هذه البرامج بمراقبة اداء الكمبيوتر و تمنع بعض الاعمال المشكوك فيها او التي يشتبه انها من عمل الفيروسات مثل محاولة اعادة تهيئة القرص الصلب او اعادة اقلاع الجهاز كما تمنع انتقال الفيروسات من الاقراص المصابة الى الكمبيوتر اثناء عملية النسخ
و مما يعيب هذا النوع من البرامج عدم الدقة و اعطاء تنبيهات خاطئةfalse alarms
و تتوفر في الاسواق اليوم العديد من الحزم البرمجية المضادة للفيروسات و التي تجمع بين اكثر من برنامج من الانواع السابقة لتضمن اكبر وثوقية في التعامل مع مشكلة الفيروسات و اشهرها هي Norton antivirus او dr.Solomon antivirus toolkit او mcafee scan او ibm antivirusاو dr.web و غيرها كما يتضمن نظام التشغيل dos برنامج msav للكشف عن الفيروسات الا انه متوسط الفعالية ولا ينصح به بشكل مفرد
و يجب التاكيد على انه كلما كان اكتشاف الاصابة بالفيروس مبكرا كلما قل الضرر الناجم عنه

[فحص الذاكرة لخلوها من الفيروس

فحص الذاكرة للتاكد من خلوها من الفيروسات
تنتقل معظم الفيروسات بعد ان تصبح مقيمة في ذاكرة الحاسب تحت النهاية العليا للذاكرة top of memory اي تحت حدود ال640 و يمكن اكتشاف وجود الفيروس في الذاكرة باستخدام احد الامرين mem او chkdsk في نظام التشغيل دوس،فمثلا في حالة الفيروس stealth-boot فان تنفيذ الامر mem يعطي 636k بدلا عن 640 و الامر chkdsk يعطي 264651 بايت بدلا عن 655360 بايت
اما اذا كان النقص في قيمة الذاكرة هو 1k اي ان الامر Mem اعطى القيمة 639k فان السبب على الغالب لا يمت للفيروسات لان عدد الفيروسات التي تحتل كيلوبايت واحد فقط من ذاكرة الحاسب قليل جدا و من اسباب حدوث ذلك:
1. الحاسب من طراز IBM ps/2 و الذي يحجز مقدار كيلو بايت من الذاكرة الاصطلاحية من اجل تخزين معلومات اضافية مطلوبة لنظام الدخل و الخرج الاساسي BIOS
2. ضابط التحكم من نوع اسكزي SCSI Controller
3. النماذج القديمة من اجهزة Compaq
ومن ناحية اخرى فقد يكون النقص في قيمة الذاكرة هو 2k او اكثر بدون وجود فيروس في ذاكرة الحاسب و من اسباب حدوث ذلك:
1. بعض برامج التحكم بالدخول بالحاسب و التي تمنع الاقلاع من القرص المرن
2. الحواسب من نوع hp\vectra
3. بعض الحواسب التي تستخدم انواعا خاصة من الـ bios التي تستخدم الذاكرة كميقاتية او حاسبة
وللتاكد من وجود الفيروس في الذاكرة او عدمه يجب تشغيل عدد من البرامج الفاحصة scanners.
استخدام FDISK لاستبدال سجل الاقلاع الرئيسي للقرص الصلب
يمكن استخدام الامر FDISK للتخلص من الفيروسات التي تصيب سجل الاقلاع الرئيسي للقرص الصلب MBR و لكن يجب الحذر لان استخدامه بشكل خاطئ قد يسبب ضياع المعلومات للابد و عدم امكانية استرجاعها فاذا لم تكن متاكدا من حالتك فلا تستخدمه مطلقا.
قبل تنفذيذ هذا الامر يجب عمل نسخة احتياطية من جميع الملفات الموجودة على القرص الصلب و يفضل استخدام الشريط المغنط اذا كان ذلك ممكنا و لا يكون هذا الاجراء مناسبا في اية اصابة فيروسية تسبب ضررا لمناطق اخرى غير قطاع الاقلاع الرئيسي مثل تخريب جدول مواقع الملفات FAT او تخريب جدول تقسيمات القرص الصلب او وجود وحدات تخزين مفقودة او مناطق غير صالحة للتخزبن لان تصحيح سجل الاقلاع الرئيسي في هذه الحالات باستخدام FDISK سيؤدي الى منع الادوات الاخرى مثل SCADISK و CHKDSK من اصلاح هذه المشاكل و لكي نستخدم الامر بالطريقة الصحيحة نتبع ما يلي:
1. اقلاع الحاسب من قرص مرن نظيف يتضمن نفس نسخة نظام التشغيل الموجودة على القرص الصلب المراد معالجته
2. عند ظهور اشارة النظام A:\> نكتب C: ونضغط ENTER فاذا ظهرت الرسالة Invalid Drive Specification فلا تتابع العمل لان النتائج غير محمودة
3.عند ظهور اشارة c:\> انتقل للدليل الفرعي dos و نفذ الامر FDISK فاذا لم يتمكن من التعرف على جميع اقسام القرص الصلب كان يوجد قسم خاص بنظام OS/2 فلا تتابع العمل ايضا
4. لا يمكن استخدام FDISK للتخلص من الفيروس Monkey و اشباهه، حيث يتعذر الوصول للقرص الصلب و كذلك عند استخدام برامج حماية خاصة مثل DISKLOCK او برامج خدمية لاعداد القرص الصلب مثل disk managerعند التاكد من عدم وجود اية حالة مما ذكر يمكن تنفيذ الامر FDISK/MBR حيث ستظهر اشارة النظام فورا ، وسيكون قد تمت كتابة نسخة سليمة من سجل الاقلاع الرئيسي خالية من الفيروسات بدون اجراء اية تغيرات على اقسام القرص الصلب ( اي لم يطراء اي تعديل على المعلومات الموجودة على القرص الصلب) و ينصح مستخدم الكمبيوتر باستخدام البرامج المضادة للفيروسات من اجل التاكد من خلو الكمبيوترو الاقراص من الفيروسات و لازالتها في حالة الاصابة و لمنعها من اختراق الكمبيوتر في المستقبل. و يجب التاكيد على ضرورة اعادة اقلاع النظام انطلاقا من قرص اقلاع نظيف و مامون من الفيروسات قبل تنفيذ البرامج المضادة للفيروسات لان اكثر الفيروسات تستخدما طرقا للتمويه و لخداع النظام عندما تكون موجودة في ذاكرة الحاسب.

]مذا تفعل عند اكتشاف فايروس في الكمبيوتر

هناك أعراض مشتركة تظهر في حال وجود الفيروس :
1. عليك تخزين أي عمل تقوم به لحظة اكتشافه الفيروس ثم اغلق الجهاز .
2. شغل الجهاز من خلال اسطوانة مرنة او ليزرية قادرة على تشغيل الجهاز ومؤمنة ضد الكتابة .
3. افحص الاقراص الصلبة بواسطة أحد البرامج المتخصصة والتي تدعى Antivirus والمخزنة على اقراص خارجية للتحقق من نوع الفيروس والملفات المصابة .
4. قم بإزلة الفيروس من الملفات المصابة وذلك باستخدام البرنامج المضاد للفيروسات .
5. افحص الاسطوانات الثابته عدة مرات للتأكد من سلامتها من الاصابة وباستخدام برامج مختلفة من الAnitivirus .
6. تأكد من الاقراص التي استخدمها في نظام للتأكد من خلوها من الفيروسات

[]التقنيات التي تستخدمها الفيروسات لمنع اكتشافها

يمكن لكل الانواع السابقة من الفيروسات ان تستخدم احدى التقنيات التالية لاخفاء وجودها و جعل اكتشافها عملا صعبا نوعا ما:
الخداع Stealth
تستخدم الفيروسات طرقا فعالة للتمويه من اجل اخفاء وجودها كمثال اذا حاولت قراءة المعلومات في قطاع بدء التشغيل لقرص مصاب بفيروس brain و كان الفيروس نشطا في الذاكرة فسوف يعرض لك معلومات القطاع الاصلي و ليس المصاب.فيروس frodo يصيب الملفات و لكن ذلك لا يمكن اكتشافه اذا كان الفيروس نشطا لانه يعمد الى الغاء الاصابة من الملف الذي تحاول قراءته. فيروس dir سوف يعرض لك الطول الاساسي للملف المصاب و يخدع بذلك البرامج المضادة للفيروسات و التي تعتمد طريقة تدقيق المجموعchechsum لملاحظة التعديلات التي تطرا على الملفات.
التشفير العادي Encryption
تستخدم بعض الفيروسات مفهوم التشفير لمنع البرامج المضادة للفيروسات و التي تعتمد مبدا البحث scnners من اكتشافها و ذلك بان تضيف الى كل رمز في نص الفيروس رمزا مفتاحا key يؤخذ بشكل عشوائي في كل نسخة جديدة من الفيروس و يتم اكتشاف هذه الفيروسات بالبحث عن طريقة التشفير المتبعة و التي تكون في بداية نص الفيروس كما في فيروس whale الذي يوجد منه اربعون نوعا مختلف التاثير.
التشفير المعقد Polymorphism
تستخدم بعض الفيروسات نظاما متقدما للتشفير يكون فيه الرمز متغيرا طول الوقت عوضا عن البقاء ثابتا. و كتابة البرامج المضادة للفيروسات اصعب من مجرد استخدام الصيغ النموذجية templates للبحث عن الفيروسات،و كذلك كتابة الفيروسات من هذا النوع هي صعبة حتى مع انتشار برامج خاصة لتوليد التشفير engines، و تاتي خطورة هذا النوع من الفيروسات من ان اكتشافها اكثر صعوبة و اقل وثوقية و عملية اصلاح الملفات المصابة غير مفيدة كما في فيروس tremor الذي يقدر عدد اشكاله المختلفة بستة مليارات.

[الوقاية من الفيروسات

1. باستخدام أقراص أو برامج أصلية وعدم استخدام الاقراص المنسوخة.
2. فحص الاقراص قبل الاستخدام لعدة برامج مختلفة من ال Anitivirus .
3. تفعيل الحارس (Gard) برنامج الفحص التلقائي .
4. استخدام (Anitivirus ) حديث الاصدار .
5. تعديل نسخة الAnitivirus كل فترة زمنية معينة .
6. عمل نسخة احتياطية للملفات المهمة .
7. عمل ما يسمى بقرص الانقاذ وذلك لفحص الجهاز في حالة اصابته بالفيروس .
8. الاحتفاظ بنسخ للبرامج المهمه مثل نظام التشغيل ويندوز اوفس .
9. يفضل استخدام أكثر من نوع واحد من الA

[]الوقاية من الاصابة بافيروسات Prevention

يقول المثل "درهم وقاية خير من قنطار علاج" و باتباع بعض القواع و الاجراءات البسيطة و تغيير بعض العادات المتبعة عند استخدام الكمبيوتر يمكن تقليل خطر الاصابة الى الصفر تقريباو من هذه الاحتياطات :
1.فحص جميع الاقراص الغريبة او التي استخدمت في اجهزة اخرى سواء كانت مرنة ام مدمجة قبل استعمالها للتاكد من خلوها من الفيروسات
2.تهيئة جميع الاقراص المرنة المراد استخدامها على جهازك فاحدى الشركات الاوروبية الضخمة ساهمت بشكل غير مقصود في نشر احد الفيروسات عندما شحنت مئات الالاف من الاقراص المهياة مسبقا و المصابة بالفيروس
3. عدم تنفيذ اي برنامج ماخوذ من الشبكات العامة مثل internet قبل فحصه
4. عدم اقلاع الكمبيوتر booting من القرص المرن الا بعد التاكد من خلوه من الفيروسات و يمكن تغيير اعدادات الكمبيوتر setup لجعله يقلع اولا من القرص الصلب c:
5. تجنب استخدام البرامج التي تتطلب بدء اقلاع الجهاز من القرص المرن a:
6.عدم ترك الاقراص المرنة في السواقة عند كون الجهاز متوقفا عن العمل و فتح باب سواقة الاقراص المرنة قبل اعادة اقلاع الجهازrebootingاو resetting
7.عدم تشغيل برامج الالعاب على نفس الجهاز الذي يتضمن البيانات و البرامج الهامة فقد تبين احصائيا انها الاكثر سهولة للاصابة بالفيروسات و هي الاكثر تبادلا بين الاشخاص
8.الاحتفاظ بالاقراص المرنة التي تتضمن البرامج الاصلية في وضعية الحماية ضد الكتابة لمنع الفيروسات من الانتقال اليها و كذلك الاقراص المستخدمة خارج المكتب
9.استخدان برامج اصلية او مرخصة من شركات برامج ذات سمعة جيدة
10.استخدام كلمة السر password لمنع الاخرين من العبث بالكمبيوتر في غيابك
11.تجهيز الكمبيوتر ببرنامج مضاد للفيروسات من شركة محترمة و استخدامه بشكل دوري
12.تحديث البرامج المضادة للفيروسات بشكل دائم لضمان كشف الفيروسات الحديثة الظهور
13.استخدام عدة برامج مضادة للفيروسات و مختلفة في طريقة البحث عنها في نفس الوقت فالفيروس الذي يكشف ببرنامج فحص المجموع checksum قد لا يكشف ببرنامج المسح
14.الاحتفاظ بنسخة dos نظيفة من الفيروسات و محمية ضد الكتابة لاستخدامها عند الاصابة
اعداد قرص اقلاع نظيف من الفيروسات
من المفيد لمستخدمي نظام التشغيل dos و windows ان يحتفظوا دائما بقرص مرن خالي من الفيروسات و يتضمن الملفات الضرورية لاعادة التشغيل عندما يصاب الحاسب بفيروس ما،و يجب التاكد من سلامة الحاسب الذي تتم عليه عملية اعداد هذا القرص و خلوه من الفيروسات.
في نظام الدوس نبدا من اشارة النظام c:> و في نظام الويندوز نفتح نافذة دوس و بعد ادخال القرص المرن في السواقة:a نكتب format a: /s /u من اجل عملية تهيئة القرص
والتي تسبب الكتابة فوق اية معلومات موجودة عليه سابقا وعند سؤال النظام عن اسم القرص نكتب virusfree هو emergency بشرط ان لا يزيد عن /11/ رمز او بذلك يصبح القرص جاهزا لتشغيل الحاسب في بيئة خالية من الفيروسات.
ولكن من المفيد نسخ بعض برامج الدوس المفيدة اليه مثل:chkdsk,mem,debug,diskcopy,fdisk,format,label,sys,undelete
ومن المهم جدا التنبه الى ضرورة حماية القرص ضد الكتابة بتحريك الزالقة البلاستيكية الموجودة خلف القرص نحو الوضع الاسفل لكي نضمن بقاء القرص نظيفا الى وقت الحاجة
الانتباه كثيرا للاقراص المرنة الواردة من المعاهد والكليات لانها تقليديا من اكثر الاماكن الموبوءة بالفيروسات.
كما ويجب الاحتفاظ و بشكل منظم بنسخ احتياطية متعددة back-up من جميع الملفات في مكان امين وعلى اقراص مختلفة وبشكل خاص قبل تجريب البرامج الجديدة.
و يجب التاكيد على ضرورة القيام بذلك حتى و لو لم يكن هناك خوف من الاصابة بالفيروسات لان الملفات قد تضيع و تضيع معها جهود كبيرة ووقت ثمين لاسباب مختلفة كعطب مفاجئو دائم للقرص الصلب او مسح متعمد من قبل الاشخاص نتيجة خلافات في العمل او مسح غير متعمد من قبل بعض الاشخاص الغير مؤهلين.
اغلاق الجهاز نهائيا او اعادة تشغيله عند ظهور عبارة nonbootable diskette بدلا من تبديل القرص و الاستمرار كما ينصح به نظام التشغيل[/

[تصنيف الفيروسات

يمكن تصنيف الفيروسات حسب شدة خطورتها والضرر الذي تحدثه في ست درجات :
1. العادي لا يفعل هذا النوع من الفيروسات شيئا سوى التكاثر ويمكن ان لا يشعرنا بوجوده لأنه لا يحدث ضررا أو تخزينا للمعلومات وحالما يتم تشخيصه واكتشافه فكل ما يلزم عليك عمله هو حذف هذا النوع م الفيروسات .
كما في فيروس Stupid الذي لايفعل شيء سوى البحث عن ملف نظيف واصابته .
2. الثانوي أخطر قليلا يسبب هذا النوع من الفيروسات تغييرا أو مسحا لواحد أو أكثر من الملفات القابلة للتنفيذ EXE, COM,BAT بحيث أنه يحذف الملفات التنفيذية لكنه غير خطر لأنه هذه الملفات موجوده على Disk وأعيد تنزيله مرة أخرى بما أن هذه الملفات أخذت أساسا من الاقراص الاصلية المقدمة من قبل منتجي البرامج فإنه اعادة تركيبها على الجهاز بعد إزالة الفيروس هي عملية بسيطة نسبيا مثل فيروس AIDS الذي يصيب الملفات من نوع COM .
3.المعتدل يمكن لهذا النوع من الفيروسات تدمير جميع الملفات الموجودة على القرص الصلب وذلك عن طريق Format أو استبدال معلومات بمعلومات أخرى كما في فيروس Disk Killer (قاتل ال Disk ) الذي يسبب إعادة تهيئة القرص الصلب عندما يبلغ عدد الاقراص المرنة التي تمت إصابتها عددا محددا أو كمافي فيروس كولومبوس الذي يفعل الشيء ذاته اذا تم تنفيذ ملف من نوع com. مصاب بتاريخ 12/octobar وبالرغم من ان الكثيرين قد يرون ان هذه المشكلة الخطيرة إلا أنه مسح جميع الملفات لا يشكل ضررا حقيقيا طالما أن النسخ احتياطي تتم بانتظام .
4.الرئيسي يؤدي هذا النوع إلى تخريب المعلومات بشكل تدريجي وبطيء عبر فترة من الزمن كنسخ رسالة معينة او بشكل عشوائي كما في فيروس Ripper الذي يتسبب في واحدة كل 1000 عملية كتابة على القرص بشكل خاطيء مما يؤدي إلى تخريب تدريجي للنظام .
5.الشديد يتمكن هذا النوع من احداث تغييرات ذكية وبارعة للبيانات دون ترك اي اثر يشير الى التغيير الحاصل كأن يقوم بشكل عشوائي بمبادلة كتل من المعلومات المتاثلة في الطول بين بعض الملفات وإن تأخر اكتشاف الاصابة به اكثر من بضعة ايام فإن هذا النوع من الضرر يستحيل ازالته لان المعلومات الاصلية لن تكون موجودة في ذلك الوقت وقد يصبب الضرر النسخ الاحتياطية ايضا كما في فيروس 1/2 1 .
5.اللامحدود يستهدف هذا النوع شبكات الكمبيوتر ويمضي أكثر الوقت في معرفة كلمة السر للمستخدمين الاكثر فعاليةsupervisers,Administrator) وعندما يتمكن من الحصول عليها فإنه يمررها الىواحدة او أكثر من مستخدمي الشبكة على أمل أن تستخدم لأغراض سيئة .
تصنيف الفيروسات بالاعتماد على منطقة الاصابة :
يمكن تقسيم الفيروسات الى فئتين :
1. فيروسات قطاع بدء التشغيل
يمكن لهذا النوع ان يسبب العدوى اذا تم بدء التشغيل من قرص مصاب ولما كانت المساحة التي يحتلها برنامج بدء التشغيل صغيرة فإن الفيروس يعمل الى نقله الى مكان آخر على القرص ويحله محل ليضمن لنفسه أولية التنفيذ كما في فيروس Stoned
2. فيروسات البرامج
هذا النوع يصيب البرامج التنفيذية والغير تنفيذية يتميز بسرعة العدوى .
هنا سوف نستعرض أهم وأخطر أنواع الفيروسات إلى وقتنا الحالي :
1) buddylst.exe
2) calcu18r.exe
3) deathpr.exe
4) einstein.exe
5) happ.exe
6) girls.exe
7) happy99.exe
8) japanese.exe
9) keypress.exe
10) kitty.exe
11) monday.exe
12) teletubb.exe
13) The Phantom Menace
14) prettypark.exe
15) UP-GRADE INTERNET2
16) perrin.exe
17) Ilove you
18) CELCOM Screen Saver or CELSAVER.EXE
19) Win a Holiday (email)
20) JOIN THE CREW O PENPALS

[الانواع الاخرى للبرامج الضارة بالكميوتر:

1. الديدان worms
هي برامج تنسخ نفسها منكمبيوتر لاخر عبر شبكة و هي لا تخرب الملفات و لكنها تستهلك موارد الكمبيوتركالذاكرة و المعالج و الاقراص و تسبب زيادة عبء تحميل الشبكة و تتكون من اجزاء متصلة ببعضها كالسلسلة و يعمل كل جزء على كمبيوتر و في حال تلف احد الاجزاء تقوم الاجزاء الاخرى بالبحث عن كمبيوتر اخر لاصابته مع زيادة اجزاء اخرى بشكل مستمر و هكذا تبدو الدودة كما لو كانت تتحرك عبر الشبكة.
و لا تظهر الديدان في انظمة الحاسب الشخصي unix os/2 و غيرها و اشهر مثال على ذلك دودة شبكة الانترنيت التي ظهرت عام 1988 و اطلقها بشكل عفوي Robert tappan morris و هو طالب في جامعة cornell الامريكية و تسببت بعد انتشارها السريع في توقف الشبكة عن العمل و ضياع البريد الالكتروني و قدرت الخسائر بمئة مليون دولار

2. احصنة طروادة Trojans
هي برامج توحي للمستخدم بانها تقوم بعمل معين بينما في الواقع هي تؤدي عملا اخرا و يكون ضارا على الغالبكمثال على ذلك القرص المدمج لمعلومات مرض الايدز aids information disk و هو غير فيروس الكمبيوتر المسمى aids I or aids II و قد وزع هذا القرص مجانا من قبل احدى شركات البرامج (حوالي 10.000 نسخة) مع شرح كامل عنه و تنبيه يظهر في البرنامج بان المستخدم يتحمل نتائج استخدامه وما قد يترتب عليها و عند تركيب البرنامج على الكمبيوتر اعطى موسوعة تفصيلية عن مرض الايدز و لكن بعد 90 تشغيل للجهاز قام البرنامج بتشفير جميع الملفات الموجودة في الكمبيوتر مع المطالبة بدفع رسوم محددة للحصول على مفتاح فك التشفير
و برامج من هذا النوع لا تعيد انتاج نفسها وهذا ما يميزها عن الفيروسات و تستخدم اسماء لبرامج معروفة لتمويه حقيقتها مثل DOOM.EXE او NDD.EXE

3. القنبلة المنطقية LOGIC BOMB
و هي برامج مخربة يتم تنشيطها بوقوع حدث او حالة معينة و يمكن ان تكون جزءا من برنامج الفيروس او حصان طروادة و قد لا يتم تنشيط القنبلة عند اول تنفيذ للبرنامج الذي يحتويها و انما عند تحقق الشرط الموضوع مسبقا مثل اسم شخص او رقم حساب او تاريخ معين كما في فيروس MICHELANGELO اوFRIDAY

[الانواع الاخرى للبرامج الضارة بالكميوتر:

1. الديدان worms
هي برامج تنسخ نفسها منكمبيوتر لاخر عبر شبكة و هي لا تخرب الملفات و لكنها تستهلك موارد الكمبيوتركالذاكرة و المعالج و الاقراص و تسبب زيادة عبء تحميل الشبكة و تتكون من اجزاء متصلة ببعضها كالسلسلة و يعمل كل جزء على كمبيوتر و في حال تلف احد الاجزاء تقوم الاجزاء الاخرى بالبحث عن كمبيوتر اخر لاصابته مع زيادة اجزاء اخرى بشكل مستمر و هكذا تبدو الدودة كما لو كانت تتحرك عبر الشبكة.
و لا تظهر الديدان في انظمة الحاسب الشخصي unix os/2 و غيرها و اشهر مثال على ذلك دودة شبكة الانترنيت التي ظهرت عام 1988 و اطلقها بشكل عفوي Robert tappan morris و هو طالب في جامعة cornell الامريكية و تسببت بعد انتشارها السريع في توقف الشبكة عن العمل و ضياع البريد الالكتروني و قدرت الخسائر بمئة مليون دولار

2. احصنة طروادة Trojans
هي برامج توحي للمستخدم بانها تقوم بعمل معين بينما في الواقع هي تؤدي عملا اخرا و يكون ضارا على الغالبكمثال على ذلك القرص المدمج لمعلومات مرض الايدز aids information disk و هو غير فيروس الكمبيوتر المسمى aids I or aids II و قد وزع هذا القرص مجانا من قبل احدى شركات البرامج (حوالي 10.000 نسخة) مع شرح كامل عنه و تنبيه يظهر في البرنامج بان المستخدم يتحمل نتائج استخدامه وما قد يترتب عليها و عند تركيب البرنامج على الكمبيوتر اعطى موسوعة تفصيلية عن مرض الايدز و لكن بعد 90 تشغيل للجهاز قام البرنامج بتشفير جميع الملفات الموجودة في الكمبيوتر مع المطالبة بدفع رسوم محددة للحصول على مفتاح فك التشفير
و برامج من هذا النوع لا تعيد انتاج نفسها وهذا ما يميزها عن الفيروسات و تستخدم اسماء لبرامج معروفة لتمويه حقيقتها مثل DOOM.EXE او NDD.EXE

3. القنبلة المنطقية LOGIC BOMB
و هي برامج مخربة يتم تنشيطها بوقوع حدث او حالة معينة و يمكن ان تكون جزءا من برنامج الفيروس او حصان طروادة و قد لا يتم تنشيط القنبلة عند اول تنفيذ للبرنامج الذي يحتويها و انما عند تحقق الشرط الموضوع مسبقا مثل اسم شخص او رقم حساب او تاريخ معين كما في فيروس MICHELANGELO اوFRIDAY

طرق انتقال الفايروس

لا يمكن للفيروسات ان تنشا من ذاتها او مع مرور الزمن و يمكن ان تنتقل من كمبيوتر مصاب لاخر سليم بواسطة الاقراص المرنة او عبر خطوط الاتصالات او ضمن الشبكات و بذلك يمكنها ان تنتقل من جهاز لاخر او من مكتب لاخر او من شركة لاخرى و يمكننا ان نميز بين فئتين من فيروسات الكمبيوتر تبعا لالية العدوى و انتشار افيروس:
فيروس العدوى المباشرة Direct Infector
عندما يتم تنفيذ برنامج مصاب بفيروس من هذا النوع فان ذلك الفيروس بيبحث بنشاط عن ملف او اكثر لينقل العدوى اليه و يمكن ان يقتصر البحث على الدليل او الفهرس الحالي او يتعدى ذلك ليشمل جميع الادلة الفرعية الموصوفة في جملة المسار path و عندما يصيب احد الملفات بالعدوى فانه يقوم بتحميله الى الذاكرة و تشغيله و هذا النوع قليل الانتشار لان الية العدوى ليست فعالة كثيرا كما في فيروس Vienna الذي يصيب الملفات من نوع comو يخربها بشكل عشوائي بان يستبدل الرموز الخمسة الاولى بقفزة لاعادة اقلاع الكمبيوتر
فيروسات العدوى الغير مباشرة Indirect Infector
عندما يتم تنفيذ برنامج مصاب من هذا النوع فان ذلك الفيروس ينتقل الى ذاكرة الكمبيوتر و يستقر فيها و يتم تنفيذ البرنامج الاصلي ثم يصيب الفيروس بالعدوى كل برنامج يتم تحميله في الذاكرة بعد ذلك الى ان يتم قطع التغذية الكهربائية عن الكمبيوتر او اعادة تشغيله و جميع فيروسات قطاع بدء لتشغيل boot sector viruses هي من هذا النوع
ان الذي تستطيع فيروسات الكمبيوتر عمله عندمتا يتم تنشيطها يعود لكاتب برنامجها و تكون النتيجة في حالات عديدة غير مؤذية اطلاقا مثل كتابة رسالة ما على الشاشة كما في فيروس shake الذي يظهر عبارة shake well before use عند تنفيذ ملف .com مصاب به او اسماع نغمة موسيقية كما في فيروس frere Jacques الذي يعزف هذه الموسيقى ايام الجمعة
و قد يكون التاثير ضارا كما في فيروس Friday 13 او Jerusalem الذي يصيب الملفات من نوع .com و يحذف كل الملفات التي تنفذ يوم الجمعة الثالث عشر من اي شهر و يمكن في بعض الحالات ان يتنوع سلوك الفيروس كما في فيروس Christmas الذي يدمر جدول مواقع الملفات fat اذا نفذ اي ملف مصاب به في الاول من نيسان بينما يعرض صورة لشجرة الميلاد على الشاشة اذا نفذ الملف المصاب به بين 24 كانون الاول و بداية العام الجديد
اما الفيروسات الاكثر خطورة فتسبب الضررفي الخفاء بدون ان تسمح لك بمعرفة ما يحدث و عندما يتم كشفها تكون تاثيراتها الضارة المتراكمة كارثة حقيقية حتى و لو كنت تحتفظ بنسخ احتياطية بشكل منتظم كما في فيروس datacrime

تسلمي يا ( الحنان ) على هذا البحث المفيد عن الفايروسات وطريقة عملها
وأقبلي فائق احترامي
دمتي بخير

حموده

» عيادة الحاسوب....!!!!
» فيروس الـ
» كاسبر سكاي انتي فيروس
» هل تؤلمك عينك من شاشه الحاسوب؟
» لاستعادة الملفات المحذوفة من الحاسوب