أنظمة التشغيل وفيروسات الحاسوب :
أغلب مستخدمي الحواسيب يعتمدون على نظام التشغيل ويندوز (Windows)من ميكروسوفت وذلك لسهولة استخدامه وكثرة انتشاره ووفرة البرامج المتوافقة معه، لكنه مع هذه المزايا فاحتمال إصابته بأنواع الفيروسات وتعرضه للقرصنة كبير مقارنة مع أنظمة التشغيل الأخرى مثل لينوكس(Linux)أو ماك أوأس (Mas OS) والسبب الرئيس هو اعتماد أغلب مبرمجي الفيروسات أساسا على لغات البرمجة التي تتوافق مع بيئة ويندوز (اللغة الأساسية الأسمبلر أو لغات متقدمة مثل السي والسي++) وكذا سهولة إصابة أنواع ملفات نظام الويندوز بخلاف الأنظمة الأخرى التي تختلف تماما عن تركيبة ملفات الويندوز فيصعب إصابتها أو عمل الفيروس في بيئة تشغيلها لذلك يتم اختيارها لتشغيل خوادم المواقع ومراكز حفظ المعلومات في الشركات الكبرى.
تعريف فيروس الحاسوب :
هو برنامج يصنع لكي يتمكن آليا من إصابة ملفات النظام وتغييرها لتقوم بتنفيذ بعض الأوامر التي تلحق أضرارا بالملفات (كالحذف النهائي أو التخريب) أو بالحاسوب (كالسيطرة عليه أو استهداف جزء منه لتخريبه) أو بالبيانات والمعلومات (كسرقة البيانات والتجسس على المستخدم)
وتتميز الفيروسات بإمكانية التناسخ (التكاثر الذاتي) والدمج مع برامج مضيفة وكذا نقل العدوى بين الحواسيب
ويتكون برنامج الفيروس أساسا من أربعة أجزاء (آليات):
- آلية التناسخ (تمكن الفيروس من التكاثر داخل الحاسوب أو على الشبكة)
- آلية التخفي (تمكنه من التخفي عن المستخدم أوالمضادات)
- آلية التفعيل (تمكنه من التنشيط عند حدث أو تاريخ معين كالقنبلة الموقوتة قبل أن يكتشف)
- آلية التنفيذ (تمكنه من إنجاز مهمته بعد تنشيطه وتنفيذ الأوامر التي صنع لأجلها)
كيف تنتقل الفيروسات ؟
تنتقل الفيروسات عبر وسائط التخزين (ذواكر فلاش، أقراص ضوئية أو مرنة، أقراص صلبة خارجية...)
وعلى المسافات البعيدة عبر الشبكة العنكبوتية (الأنترنت) عن طريق مواقع ملغومة أو رسائل إلكترونية أو برمجيات خبيثة وكذا عند تبادل الملفات المصابة
أنواع الفيروسات :
يمكن تصنيف الفيروسات من حيث نوعها إلى أقسام كثيرة أشهرها ثلاثة:
-الفيروس التقليدي (Virus): برنامج تنفيذي (.exe.com.bat.scr…) ينتقل أولا كمرفق مع رسالة إلكترونية إلى جهاز الكمبيوتر ثم يستعمل الذاكرة العشوائية (RAM) كمكان ينتظر فيه تشغيل أي برنامج لينقل إليه العدوى ومنها برامج النظام فيؤثر على سلامة النظام ويصيب الملفات المفتوحة فيخربها أو يزيلها ويمكنه استعمال ذواكر الفلاش أساسا للتنقل بين أجهزة الكمبيوتر
-الفيروس الدودي (Worm) : ينتقل أساسا عبر الشبكات والأنترنت عن طريق المرفقات البريدية فيمكنه أن يرسل نفسه إلى القائمة البريدية للبريد المصاب أو عبر الملفات المشتركة ويعمل ذاتيا ويتكاثر بسرعة على حواسيب الشبكة مؤثرا بذلك على مواردها فيمكنه بذلك تعطيل الشبكة كاملة.
- حصان الطروادة (Trojan horse): هو فيروس طفيلي يعمل متخفيا ومرفقا مع برنامج موثوق ويبدأ عمله عند تشغيل البرنامج المضيف وينفذ مهمة تخريب النظام أو تشفير ملفاته، غير أنه لا يستعمل خاصية التناسخ لدى الفيروسات الأخرى
وهذه الثلاثة هي الأكثر انتشارا وشهرة وتعرف عموما باسم البرمجيات الخبيثة (Malware) وهناك أنواع أخرى أقل شهرة نظرة لقلة انتشارها لكنها موجودة ولا تقل خطورتها عن الثلاثة المذكورة ومنها :
- فيروسات ماكرو (Macro): تحتوي ملفات الأوفيس خاصة على خاصية الماكرو (وهو مجموعة أوامر للقيام بوظيفة معينة) ومنها يمكن لفيروسات الماكرو الاندماج مع ملفات الأوفيس بسهولة وتنشط بعد عملية معينة كفتح الملف أو إغلاقه كما يصعب تمييزها عن الماكرو غير المصاب مما يجعلها من أخطر الفيروسات لكنها قليلة الانتشار.
- فيروسات قطاع التشغيل (Boot sector): تستقر هذه الفيروسات في قطاع القرص الذي يحتوي ملفات إقلاع النظام وبذلك تضمن أن تكون من أول ما ينقله النظام إلى الذاكرة ثم ينفذ مهمته وقد يحول دون تشغيل النظام أو حتى إتلاف ملفات الإقلاع فتضيع كل البيانات والملفات على القرص وهي بذلك من أخطر الفيروسات على الأقراص الصلبة وما تحويه من ملفات.
- فيروسات الملفات التنفيذية للنظام: تقوم بدمج نفسها مع ملفات النظام التنفيذية ذات الامتدادات (exe, com, bat, pif) وقد يتسبب استعمال المضادات لمعالجة الإصابة بحذف ملفات النظام المصابة فلا يشتغل النظام مرة أخرى
- الفيروسات المخادعة : لديها القدرة على تغيير شفرتها عند الانتقال من ملف مصاب إلى أخر سليم لكي يصعب اكتشافها من المستخدم أو مضادات الفيروسات، فهي تتأقلم مع بيئتها ديناميكيا مما يجعلها على درجة كبيرة من الخطورة
- القنبلة المعنوية (Logic bomb): عبارة عن مجموعة أوامر برمجية تستقر داخل برنامج أو ملف مضيف وتبقى خاملة إلى أن يتم تنشيطها بواسطة حدث معين كتشغيل أحد التطبيقات بعدد محدد أو عند تاريخ معين وقد يكون حدث تنشيطها هو محاولة تنصيب مضاد فيروسات فتشتغل أولا بمنع تنصيبه ثم تبدأ بتخريب النظام (كانتقام منها)
ويمكن تصنيف الفيروسات حسب سرعة انتشارها أو خطورتها أو بيئة عملها أو طرق انتقالها لكن يمكن حصرها عموما فيما ذكرته آنفا.
كيف تعرف أن جهازك مصاب بفيروس محلي؟
- كثرة رسائل الخطأ خاصة في البرامج التي يكثر استعمالها، أو ظهور إعلانات عشوائية أو فتح صفحات عشوائية غير مرغوبة أو حركات غير اعتيادية لمؤشر الفأرة
- ظهور إعلام بامتلاء القرص الصلب رغم قلة الملفات مقارنة بحجم القرص أو التقسيم
- اختفاء أنواع معينة من الملفات مثل ملفات الأوفيس أو تخريبها أو ملفات النظام
- تعذر فتح بعض الملفات أو أقسام القرص بالنقر المزدوج أو تنفيذ بعض التطبيقات
- فقدان المستخدم لبعض الصلاحيات التي تعطلها الفيروسات لأنها تمكن من الكشف عن الفيروسات يدويا، كتعذر فتح مدير المهام(Ctrl+Alt+Del)أو محرر التسجيلات (Regedit) أو إمكانية إظهار الملفات المخفية
- صعوبة إقلاع النظام أو تعذره بلا سبب نظرا لفقد بعض ملفات بدء التشغيل وظهور أخطاء قبل بدء التشغيل
- تعذر تنصيب مضاد فيروسات وغلق نافذة التنصيب بمجرد فتحها
- ظهور خيارات غير معتادة في القوائم المنسدلة للنظام كظهور خيار (تنفيذ) في القائمة المنسدلة عن تقسيمات القرص الصلب أو كلمات عشوائية في القوائم المنسدلة.
- ظهور اختصارات مكان المجلدات وبنفس الأسماء مع اختفاء المجلدات الأصلية أو ظهور ملفات عشوائية على الذواكر والتقسيمات، أو ظهور إيقونات واختصارات غير اعتيادية على سطح المكتب
- تكرار الملفات أو المجلدات فمثلا تجد داخل كل مجلد ملفا تنفيذيا بنفس اسم المجلد
- ظهور ملفات أوتورن (Autorun.inf) في أقسام القرص أو على الذواكر وهو ليس فيروسا لكن الفيروسات تستعمله كوسيلة لتنشط وتبدأ مهمتها، وبفتحه يمكن معرفة بعض التفاصيل عن عمل الفيروس.
إلى غيرها من العلامات التي تشترك كلها في كونها مريبة وغير اعتيادية بالمقارنة مع الحالة العادية للنظام.
الدليل الشامل إلى حماية الحواسيب وأمن المعلومات
(الحلقة الثالثة)
ما مدى خطورة الفيروسات ؟ مهما كان الفيروس الذي نجده في الحواسيب ضعيف التأثير على سير النظام فإنه لا ينبغي الاستهانة به لأننا لا نعرف إن كان هذا هو حد التأثير الذي يمكن أن يصل إليه أم أنه في مرحلة خمول وينتظر التنشيط ليقوم بمهمته التي صمم لأجلها، فقد تقل خطورته إلى مجرد التكاثر على وسائط التخزين مثل فيروسات البكتيريا (Bacterium) أو الأرنب (Rabbit) وقد تصل الخطورة إلى تخريب الملفات أو حتى تخريب أقراص التخزين الصلبة ووحدة البيوس (BIOS) وكذا سرقة البيانات والمعلومات التي يستعملها المصدر للاختراق وأغراض أخرى سيئة مثل تروجن الباب الخلفي (Backdoor) ويمكن أن يتسبب الفيروس الدودي (Worm) يإيقاف مخدمات البريد الإلكتروني (Mail Server) وهذا ما يكلف الكثير من الوقت والمال لتغطية الخسائر الحاصلة وسد الثغرات الموجودة في أنظمة الحماية أو التشغيل، وقد تضطر الشركات المتضررة إلى الاستعانة بخبرة هؤلاء القراصنة لتحديث برامج الحماية وسد الثغرات، أما في الحواسيب الشخصية فقد تحتوي معلومات خصوصية يؤدي فقدانها أو سرقتها إلى الكثير من الضرر المادي أوالمعنوي (كلمات مرور حسابات البريد والحسابات المالية والقوائم البريدية وإدارة المواقع...)
فيروسات الدمار الشامل :
منذ ظهور الفيروسات أول مرة في أواخر السبعينات وهي مستمرة في التطور والتنوع والانتشار، فقد كانت في البداية تنتشر على الحواسيب الشخصية (أبل2 وماكنتوش آنذاك) عن طريق وسائط التخزين المرنة أو الأقراص المضغوطة (ZIP)، وزادت سرعة انتشارها مع انتشار شبكة الأنترنت حيث سهلت هذه الشبكات وخاصة البريد الالكتروني تنقل الفيروسات وإصابة الحواسيب المتصلة بالعدوى التي تصل إلى الملايين سنويا، فوصلت أنواعها إلى مئات الآلاف من الفيروسات الفتاكة التي تتفاوت في الخطورة والسرعة وحتى الذكاء، لكن بعض هذه البرامج الخبيثة نال شهرة عالمية وذاع صيتها لسعة انتشارها أو مدى خطورتها إلى حد أنها شكلت أحيانا تهديدا لمواقع عالمية كبرى خاصة التجارية منها أو مخدمات بريد أوحتى شركات الحماية والأنظمة مثل مايكروسوفت, ومن أشهر الهجمات الفيروسية الشرسة :
ظهر عام 1999 وهو من نوع ماكرو مدمج في مستند وورد (word) ووضع في موقع للأخبار، وأي ضحية يقوم بتحميل الملف فإن هذا الماكرو يقوم بإرسال نفسه إلى أول خمسين عنوانا بريديا من القائمة البريدية (Address Book) للضحية دون علمه وهكذا، وبهذه الطريقة انتشر بسرعة رهيبة وأصبح يشكل خطرا على مخدمات البريد مما أجبر كبرى شركات البريد وعلى رأسها مايكروسوفت (Microsoft)على إطفاء مخدمات البريد للتمكن من القضاء على هذا الفيروس.
فيروس آخر مطور بلغة البرمجة فيسوال بايسيك (Visual Basic) يعمل بنفس مبدأ الفيروس السابق لكنه يختلف في كونه يرتبط برابط معين في الرسالة وعند النقر عليه يقوم بإرسال نفسه إلى جميع القائمة البريدية في برنامج الأوتلوك (Outlook) لإدارة البريد الالكتروني.
- الفيروس الدودي مايدوم My Doom :
ظهر عام 2004، وكانت وظيفته الانتشار الواسع والعشوائي عبر القوائم البريدية مع إمكانية فتح باب خلفي في نظام الضحية (Backdoor) مما يتيح للمخترق التحكم الكامل عن بعد بالجهاز، فتسبب بذلك في أضرار بالغة للضحايا ومخدمات البريد الالكتروني, واستحق بذلك لقب أخطر فيروس دودي مع وظيفة مدمجة للتروجن.
- فيروس تشيرنوبيل Tchernobyl أو CIH
ظهر بين عامي 1997 و2002 وحقق دمارا شاملا على مستوى الحواسيب الشخصية فتصبح بعد الإصابة غير صالحة للاستعمال تقريبا، ويمكن اختصار مهمته فيما يلي :
- يصيب أنظمة التشغيل ويندوز 95 و98 وملينيوم خاصة
- بعد إصابة الجهاز ينتقل إلى الذاكرة الحية (RAM) وينتظر تشغيل أي ملف تنفيذي (exe.) ليندمج معه ويصيبه بالعدوى
- ينتقل إلى قطاع بدء التشغيل الرئيس (MBR) ويقوم بحذف أول ميغابت منه ببيانات عشوائية مما يجعله غير مقروء وتصبح عملية الإقلاع واسترجاع البيانات عملية مستعصية (وصعبة جدا على المتخصصين)
- يحاول الفيروس مسح بيانات البيوس (BIOS) ما أمكنه ذلك (أغلب البطاقات الأم حاليا فيها حماية للبيوس من الكتابة عليه)، وإن تمكن من ذلك فإنه يعطل كل المدخلات وويتلف بذلك اللوحة الأم (Motherboard)، واحتمال إصلاحها يكون ضعيفا جدا مع تكلفته الباهضة.
- ينشط الفيروس في 26 من كل شهر ليقوم بمهمته مخلفا آثارا مدمرة على ملايين الأجهزة (26 أفريل 1986 هو تاريخ حدوث الانفجار النووي بتشرنوبيل)، وقد تم القضاء عليه أخيرا بعد حرب إلكترونية شعواء دامت قرابة خمس سنوات.
وهناك فيروسات أخرى لا تقل فتكا عن المذكورة سابقا خاصة مع تطور لغات البرمجة واعتماد تقنيات جديدة في الاتصال، خاصة إذا تم تهجين أنواع الفيروسات وإيجاد نوع يجمع كل الخصائص المدمرة من قدرة على التكاثر والانتشار والتخفي والتجسس والتطوير الذاتي وغيرها من الخصائص التي تجعلها بمثابة أسلحة الدمار الشامل في عالم الحواسيب.
وإلى حلقة أخرى قريبة بإذن الله نسأل الله تعالى أن يعافينا من شرها ومن شر صانعيها.
[سلسلة] الدليل الشامل إلى حماية الحواسيب وأمن المعلومات
رد مع اقتباس