هذا المقال قمت بتجميعه من بعض المجلات العربية والأجنبية المتخصصة في الكمبيوتر لتسليط الضوء على ظاهرة فيروسات الحاسب الآلي والتي أصبحت هاجساً لكل مستخدمي الكمبيوتر وخاصة مستخدمي شبكة الانترنت لعله يفيد القارئ في تجنب شر مثل هذه الفيروسات التي أضحت تسبب أضراراً لا تقل عن الأضرار التي تسببها الفيروسات التي تصيب الأحياء .

{ أمجد شعبان }

أولاً هنالك حقائق يجب معرفتها عن الفيروسات الإلكترونية ، فهذه الفيروسات هي ليست مخلوقات حية بل هي عبارة عن برامج مثلها مثل أي برنامج كمبيوتر إلا أنها تستنسخ نفسها في البرامج الأخرى التي تصيبها ، وهي لا تستطيع العمل تلقائياً ولكنها تحتاج إلى تنشيط كي تقوم بعملها ، فإذا أردت تنشيطها يجب أن تقوم بتشغيل البرنامج بالفيروس . ولكي نصنّف أي برنامج كفيروس فإنه يجب أن يستطيع نسخ نفسه في البرامج الأخرى عن طريق تغيير الشفرة التي كّتب بها . وحسب إطلاعي على التعاريف التي أطلقت على الفيروسات أستطيع القول أن أفضل تعريف وجدته للفيروس هو التعريف التالي : فيروسات الحاسب الآلي هي برامج تكرر نفسها وتحتوي على شفرة تمكنها من نسخ نفسها في البرامج الأخرى وبالتالي إصابتها عن طريق تغييرها أو تغيير البيئة التي تعمل فيها وبالتالي تعرف بالبرامج المصابة والتي بدورها تكون قادرة على استنساخ الفيروسات بسهولة وإصابة برامج أخرى بها .

        من هذا التعريف يتضح لنا أن البرامج لا تصاب بالفيروس بمجرد إرسال رسالة الى بريدك الإلكتروني تحتوي على فيروس ما لم تقم بتنشيطه عن طريق فتح الملف الذي يحتوي على الفيروس .

وجدت فيروساً … ماذا أفعل ؟

        كثير من مستخدمي الكمبيوتر يعتقدون بوجود فيروس في أجهزتهم بمجرد أن هنالك شيء غير طبيعي يحدث في الجهاز ، كأن يصبح الجهاز بطيء أو لا يستطيع أحدهم القراءة من القرص المرن أو غيره من الأخطاء وهذا الاعتقاد غير صحيح فليس كل مشكلة في الجهاز أو البرامج تعتبر مؤشراً لوجود فيروس ، فربما تكون هناك مشكلة في محرك الأقراص المرنة (HARDWARE PROBLEM ) أو أن المستخدم قام بتنزيل برنامج جديد يتعارض مع أحد البرامج المستخدمة بالجهاز أو أنه قام بتغيير ملفات الإعداد ( CONFIG FILES ) ، أما إذا تأكد أن شئ من هذا لم يحدث وأصبحنا متيقنين من وجود فيروس فأول خطوة يجب عملها هي استخدام إحدى برامج مضادات الفيروسات ومن أشهر هذه البرامج (NORTON , MCAFEE , F-PORT, AVP , THUNDERBYTE ) . بعد تنزيل أحد هذه البرامج يتم تشغيله حتى نكتشف إذا ما كان الجهاز مصاباً بأحد الفيروسات أم لا ، إذا أعطى هذا البرنامج إنذار بوجود فيروس واحد فقط ربما يكون هذا الإنذار وهمي أو عن طريق الخطأ ، بمعنى آخر أن الكمبيوتر يعتقد بوجود فيروس بينما الحقيقة غير ذلك ، إ        ذا وجد البرنامج فيروسات وأعطى رسالة بأنه يمكن تنظيف الملفات المصابة من هذه الفيروسات فيجب أن نقوم أولاً بعمل نسخ احتياطي للملفات المصابة قبل تنظيفها ، ثم ندع مضاد الفيروسات ينظّف الملفات الأصلية فقط (غير المنسوخة) ثم نحاول تشغيل الملفات بعد تنظيفها ، فإذا وجدنا أنها تعمل بصورة سليمة ، عندها يجب حذف النسخ الاحتياطية ، أما إذا كان هناك خطأ أثناء تشغيل الملفات فيجب حذفها واستعادة النسخ الاحتياطية مكانها ، بعدها يمكن أن نحاول تنظيف هذه الملفات باستخدام برنامج مضاد فيروسات آخر . بعض المضادات تقوم بإزالة بعض الفيروسات بينما تفشل في إزالة البعض ، إذا لم نجد أي مضاد فيروسات يمكنه تنظيف الملفات المصابة فليس لدينا سوى الانتظار لحين إنتاج ظهور إصدار جديد من برامج المضادات ، وأثناء فترة الانتظار يجب ألا نقوم بتشغيل هذه الملفات المصابة ، وإذا كانت ملفات غير هامة فيجب حذفها ، أما إذا كنّا لا نعلم ما إذا كانت هذه الملفات ضرورية لتشغيل برامج أخرى أم لا ، فلا يجب حذفها .

اكتشاف الإصابة بالفيروسات :

        يمكن لمستخدم الكمبيوتر ، وبدون استخدام برامج البحث عن الفيروسات ، ملاحظة بعض الظواهر التي قد تدل أحياناً كثيرة على إصابة الكمبيوتر ، وقد تكون طبيعية أحياناً أخرى ، ومنها :

-         تباطؤ أداء الكمبيوتر ، أو حدوث أخطاء غير معتادة عند تنفيذ البرامج .

-         زيادة حجم الملفات ، أو زيادة زمن تحميلها إلى الذاكرة .

-         سماع نغمات موسيقية غير مألوفة .

-         ظهور رسائل ، أو تأثيرات غريبة على الشاشة .

-         زيادة في زمن قراءة القرص المرن إذا كان محمياً ، وكذلك ظهور رسالة FATAL I/O ERROR

-         تغيير في تاريخ تسجيل الملفات ، كما في فيروس "فيينا" الذي يكتب 62 مكان الثواني .

-   حدوث خلل في أداء لوحة المفاتيح كأن تظهر رموز مختلفة عن المفاتيح التي تم ضغطها أو حدوث قفل في لوحة المفاتيح كما في فيروس EDV .

-         نقص في مساحة الذاكرة المتوفرة كما في فيروس "ريبر" الذي يحتل 2 كيلو بايت من أعلى الذاكرة الرئيسة .

-         ظهور رسالة " ذاكرة غير كافية " لتحميل برنامج كان يعمل سابقاً بشكل طبيعي .

-   ظهور مساحات صغيرة على القرص كمناطق سيئة لا تصلح للتخزين كما في فيروس " PING PONG " الذي يشكل قطاعات غير صالحة للتخزين مساحتها كيلو بايت واحد .

 كيف أحمي جهازي من الإصابة  ؟

        لكي نضمن حماية أي جهاز ضد الإصابة بالفيروسات فعلينا ألا نقوم بتشغيل الجهاز بتاتاً ، ولكن بالطبع ليست هناك فائدة من الكمبيوتر ما لم نقم بتشغيله ، إذن فعلينا أن نتوخى الحذر عندما نقوم بتنزيل أي برنامج في الجهاز سواء عن طريق استخدام الأقراص المرنة أو الأسطوانات أو عن طريق الانترنيت ، فعند استخدام الأقراص المرنة اجعل القرص المرن في حالة إغلاق (أي للقراءة فقط) حتى نستيقن من خلوه من أي فيروس ، كما يجب مراقبة أي شخص يقوم باستخدام الجهاز الخاص بك ربما يقوم بجلب فيروسات من غير قصد ، كما يجب أيضاً استخدام البرامج التي تقوم بمسح (SCAN) للذاكرة للكشف عن مواضع الأخطاء أو الفيروسات أثناء تشغيل الجهاز . وللأسف فإن هناك بعض الأسطوانات التي تحتوي على برامج أصلية أو تحتوي على برامج تعريف لإحدى القطع في جهاز الكمبيوتر على الرغم من أنها تأتي من الشركات المنتجة الرئيسية إلا أنها تحتوي على فيروسات في بعض الأحيان ، وقد تجد مكتوب عليها أنه تم فحصها من الفيروسات المعروفة ، وهذا يعني أن هناك احتمال لاختباء فيروس غير معروف فيها ولم يتم اكتشافه عند فحصها ، فيجب أيضاً أخذ الحيطة أثناء استخدام مثل هذه الأسطوانات .

ونورد فيما يلي باختصار الاحتياطات الواجب إتباعها لحماية الأجهزة من الفيروسات :

-         فحص جميع الأقراص الغريبة أو التي استخدمت في أجهزة أخرى قبل استعمالها .

-         تهيئة جميع الأقراص المرنة المراد استخدامها .

-         عدم تنفيذ أي برنامج مأخوذ من الشبكات العامة مثل إنترنت قبل فحصه .

-         عدم إقلاع الكمبيوتر من أي قرص مرن قبل التأكد من خلوه من الفيروسات .

-         عدم ترك الأقراص المرنة في السواقة عندما يكون الجهاز متوقفاً عن العمل .

-         عدم تشغيل برامج الألعاب على الجهاز ذاته الذي يتضمن البيانات والبرامج الهامة .

-         حماية الأقراص المرنة ضد الكتابة لمنع الفيروسات من الانتقال إليها .

-         استخدام برامج أصلية ومرخصة .

-         استخدام كلمة سر لمنع الآخرين من العبث بالكمبيوتر في غيابك .

-         الاحتفاظ بنسخ احتياطية متعددة من جميع الملفات الهامة قبل تجريب البرامج الجديدة .

-         تجهيز الكمبيوتر ببرنامج مضاد للفيروسات واستخدامه بشكل دوري .

-         تحديث البرنامج المضاد للفيروسات بشكل دائم لضمان كشف الفيروسات الجديدة .

-         استخدام عدة برامج مضادة للفيروسات ومختلفة في طريقة البحث عنها في الوقت ذاته .

-         الانتباه للأقراص المرنة والأسطوانات الواردة من المعاهد والكليات . 

تصنيف الفيروسات حسب منطقة الإصابة :

1-  فيروسات قطاع الإقلاع : ( BOOT SECTOR VIRUSES )

يمكن لهذا النوع أن يسبب العدوى في حالة واحدة هي إذا تم إقلاع النظام انطلاقا من القرص المصاب ، وإن لم يتضمن ذلك القرص ملفات النظام ، ولأن المساحة التي يحتلها برنامج الإقلاع صغيرة فإن برنامج الفيروس يعمد إلى نقله لمكان آخر على القرص ويحل محله ليضمن لنفسه أولوية التنفيذ ويضع فيروس STONED مثلاً برنامج بدء التشغيل القديم في نهاية فهرس الملفات ، بينما يحتل فيروس YALE القطاعات الأخيرة من المسار الأخير على القرص ، أما فيروس DEN ZUCK ، فإنه يهيئ مساراً إضافياً يختبئ فيه خارج المنطقة المعتادة على القرص ، بينما تبحث بعض الفيروسات عن مكان فارغ على القرص وتحشر نفسها فيه ثم تسمه بعلامة عدم الصلاحية للتخزين BAD SECTOR .

2-  فيروسات البرامج PROGRAM VIRUSES

يلصق هذا النوع من الفيروسات نفسه بالملفات التنفيذية من نوع COM, . أو EXE أو SYS وغيرها ، وتكون العدوى بهذا النوع فعّالة وسريعة . وفيروسات هذا النوع أكثر تنوعاً من فيروسات قطاع بدء التشغيل إلا أنها أقل انتشارا . ويمكن تصنيف فيروسات البرامج في أربع مجموعات هي :

الفيروسات المتطفلة :

        وهي الفيروسات التي تلصق نفسها بالملفات لكي تتكاثر ، وتبقي الملف نفسه بحاله سليمة في الغالب ، لأنها تضيف نفسها إما في بداية الملف أو في نهايته . وتوجد حالة نادرة هي للفيروس (COMMAND BOMBER) ، الذي يبحث عن مساحات فارغة ضمن الملف المستهدف ، ويخزن نفسه في مناطق متفرقة منه .

الفيروسات المرافقة :

        تعتمد هذه الفيروسات على قاعدة الأسبقية في التنفيذ ، فعند وجود ملفين تنفيذيين من نوع COM  وEXE لهما الإسم ذاته فإن الملف COM هو الذي سينفذ أولاً إذا لم يذكر امتداد الملف عند طلب تنفيذه ، وتتمكن من نقل العدوى بدون تغيير طول الملف عن طريق إنشاء ملف جديد له الاسم ذاته ولكن بامتداد COM . وعند تنفيذ  الملـف المصـاب يقوم الفيروس بالبحث عن ملف EXE جديد وإصابته ثم يحمل الملف المطلوب ، كما في فيروس AIDS II . ويمكن للفيروسات إصابة الملفات الدفعية BAT بإنشاء ملفات مرافقة من نوع EXE أوCOM  

       الفيروسات الرابطة :

       تصـيب هذه الفيروسـات البرامـج بتغييـر المعلومات في جدول مواقع الملفات ، بحيث تبدأ كل البرامج المصابة من الموقع ذاته ، وهو عادة الكلستر الأخير في القرص والتي تتضمن نص الفيروس ، مما يضمن له انتشارا سريعاً .

       الفيروسات المستبدلة :

       تتجنب معظـم الفيروسـات الكتابة فوق جزء من البرنامج لكي يصعب اكتشافها . أما الفيروسات المستبدلة فتقوم بذلك بدون أن تغير حجم الملف ، مما يؤدي إلى فشل البرنامج عند تنفيذه . ولذلك لم تنتشر كثيراً . 

الإنترنت وأثرها في انتشار الفيروسات :

        في ظل تنامي استخدام الإنترنت وانتشارها كأداة من أدوات الأعمال في كل مكان فقد بات من السهل إصابة أكبر عدد من أجهزة الكمبيوتر والشبكات بالفيروسات ، وقد أصدرت شركة سيمانتك تحذيراً في النصف الأول من العام 2001م يتناول مستقبل الفيروسات ، وجاء هذا التحذير قبيل ساعات من تعرض الشبكات في عدد من المؤسسات العاملة في أمريكا الشمالية وأوروبا لهجوم فيروس جديد يسمى "آنا كورنيكوفا" تيمناً بلاعبة التنس الروسية الشهيرة . وأطلقت سيمانتك تحذيرها بعد أن وجدت أن أخطر عشرة فيروسات تم إبلاغها لمركز أبحاث مقاومة الفيروسات التابع للشركة خلال العام 2000م كانت جميعها من الفيروسات الحساسة بالشبكات والتي يسهل انتشارها ، ولعل استخدام الإنترنت جعلنا نعيش في عالم يزداد تقارباً باستمرار مما يجلب معه مخاطر أعلى لانتشار الفيروسات وبسرعة ، ولا يعود ذلك كما دلت عليه الهجمات الأخيرة بالفيروسات إلى فعالية الشفرة البرمجية الخبيثة فقط بل نتيجة لتصميم تلك الشفرة كي تنتشر بسرعة عالية ، وقبل توفير العلاج اللازم لمقاومتها على شكل تحديثات ملائمة لها ، وفي الوقت الذي ينتقل فيه محور عمليات المستخدم من الإنتاجية الشخصية إلى الاتصالات تتطور تبعاً لذلك أنواع خبيثة من الفيروسات ووسائل عدوى مضرة . إن ثورة اتصالات إنترنت والتوسع في الشبكات المتعددة للمؤسسات ووجود ظاهرة الفيروسات الكبيرة غيّرت من خصائص التهديدات التي تشكلها الفيروسات على المؤسسات ، فسرعة انتقال الفيروسات سترتفع مع تحسين بنية الشبكات الأساسية وستحظى بوسائل انتقال أفضل ، وقد أصدر مختبر أبحاث مقاومة الفيروسات قائمة بأخطر عشرة فيروسات انتشرت في العام 2000م ، وقدّم المختبر في العام الماضي عدداً من الفيروسات بلغ 180000 فيروس تقريباً من كل أنحاء العالم ، وتبين تلك الإحصائية بشكل واضح ارتفاع عدد فيروسات WIN32 ، والأهم من ذلك صعوبة اكتشافها ، وتستخدم الفيروسات الآن ميزات منصات أنظمة التشغيل الجديدة لاستغلال الشبكة بشكل أكثر سهولة ، ولم تكن كتابة مثل هذه الفيروسات سهلة في عصر دوس إلا أن الشبكة الواسعة أصبحت مليئة بالدلائل أكثر من أي وقت مضى . إن مواقع بوابة البحث على شبكة ويب ومجموعات الأخبار توفر قوائم واسعة بأجهزة الكمبيوتر وبعناوينها مما يعني إمكانية انتشار الفيروسات بسهولة أكثر ويعني ذلك أن هذه الفيروسات أضحت أكثر تهديداً .

 وفيروس "آنا كورينكوفا" الذي حذرت منه شركة سيمانتك هو فيروس ينتقل متخفياً بصورة ملحقة وقد ملأ المزودات بآلاف رسائل البريد الإلكتروني ، وقد صنّفت شركات برمجيات مكافحة الفيروسات خطر هذا الفيروس بين عالي ومتوسط ، وحذّرت من أن سرعة انتشاره يمكن مقارنتها بسرعة انتشار فيروس الحب " I LOVE YOU" الذي نشر الفوضى والخراب على مزودات البريد الإلكتروني في العام 2000م ، ويقول بعض المراقبون على الرغم من ذلك يّعرف هذا الفيروس باسم VBS/SST واسم VBS KALAMAR وهو أبطأ في الانتشار من سلفه وهي ملاحظة يـمكن إدراكها جزئياً نظراً للسرعة التي تم بها تطوير علاج مناسب للفيروس ، ويحتوي حقل الموضوع " SUBJECT" على عبارة “HERE YOU ARE” أو “ HERE YOU GO” أو “ HERE YOU HAVE “ وتتضمن الرسالة النص التالي " HI , CHECK THIS" ويقوم هذا الفيروس الذي كّتب بلغة فيجوال بيسك بنسخ نفسه في دليل ويندوز ومن ثم يرسل نفسه كملحق للعناوين الموجودة في دفتر عناوين مستخدم مايكروسوفت أوتلوك .

هناك أيضاً فيروس يُدعى (زوري) وهو أول فيروس عربي وُضع بطريقة جديدة تختلف عن باقي الفيروسات ، وقد انتشر هذا الفيروس في الشهر التاسع من العام 2000م ، وتم تصميمه بلغة فيجوال بيسك 5 ، وهو يصيب ملفات EXE ، وحجم هذا الفيروس (52) كيلو بايت ، أما عن طريقة عمله فعند دخوله إلى جهاز المصاب يقوم بإنشاء WIN_ZORI.COM على محرك الأقراص C:\ ويمسـح محتـوى ملـف AUTOEXEC.BAT ويضـع فيـه العبارة C:\@ WIN_ZORI.COM MUSTAFA ثم يقوم بنسخ نفسه في جميع ملفات EXE الموجودة في محركات الأقراص الصلبة ومن ثم يقوم بعمل نسخه من الملف التنفيذي الأصلي بلاحقة ZOR.* وذلك لكي يقوم الفيروس بتشغيله في حال النقر على الملف المصاب ، وإذا تم حذف الملف الذي يحمل لاحقة ZOR يتم استخراجه من داخل الملف المصاب ، وإذا حذف WIN_ZORI.COM كذلك يتم استخراجه من الملفات المصابة .

وفيما يلي قائمة بأخطر عشرة فيروسات سُلمت لمختبر أبحاث الحماية من الفيروسات :

-                      WSCRIPT.KAKWORM 21.4-1

-                      WIN95 MTX 9.5-2

-                      VBS LOVELETTER 8.3-3

-                      WIN95 HYBRIS 5.1-4

-                      VBS STAGES A 3.7-5

-                      WIN32 HLLW QAZ A 4.7-6

-                      HAPPY99 WORM 2.5-7

-                      WIN32 NAVIDAD 2.3-8

-                      VBS.NETWORK 2.1-9

-                      W32.FUNLOVE.40991 16-10