تتضمن معظم الكمبيوترات الشخصية المباعة حديثا برامج لمكافحة الفيروسات وهذه الحقيقة أكثر من أي شيء آخر
تدلنا على مدى اتشار الفيروسات ومدى قبول صناعة الكمبيوتر بها كقدر لا مفر منه!لقد أصبحت الفيروسات أمرا
واقعا في عالم الكمبيوتر.والدودة برنامج يعيد إنتاج نفسه، لكنها لا تلوث برامج أخر ى. تنسخ الدودة نفسها من وإلى الأقراص المرنة،
أو عبر الشبكات، ويعتمد بعضها على الشبكة في إنجاز عمله ا. تستخدم إحدى أنواع الديدان -وهي الدودة
الشبكة لنسخ نفسها، فقط، إلى أجهزة الكمبيوتر المتصلة بالشبكة. بينما توزع -(host worm) المضيفة
أجزاءها على عدة كمبيوترات، وتعتمد على الشبكة فيما بعد (network worm) الدودة الشبكية
لتشغيل هذه الأجزا ء. ويمكن أن تظهر الديدان على كمبيوترات منفصلة، فتنسخ نفسها إلى أماكن متعددة على
القرص الصلب.
وسمي النوع الثاني من البرمجيات الماكرة "حصان طرواد ة"، نسبة للأسطورة الإغريقية الواردة في ملحمة
الأوديسا لهوميروس، حيث ترك الجيش الإغريقي حصانًا خشبيًا ضخمًا، كهدية لسكان طروادة، وكان يختبئ
ضمنه مجموعة من الجنود الأشد اء، بعد أن تظاهروا بإاء الحصار الطويل، وعندما رحل الجيش وأدخل السكان
الحصان إلى داخل أسوار المدينة، خرج الجند منه وانقضوا على الحامية، وسقطت المدينة في أيدي الإغري ق.
وتعتمد برامج أحصنة طروادة على المبدأ ذاته، فهي تختبئ ضمن برامج يبدو مظهرها بريئًا، وعندم ا يشغل
المستخدم واحدًا من هذه البرامج، ينشط الجزء الماكر ويقوم بعمل معين مصمم ل ه. وتختلف أحصنة طروادة عن
الفيروسات العادية، في أا لا تعيد إنتاج نفسها.
لمراوغة برامج مكافحة الفيروسات، وتعتمد على التشفير غالبًا لمنع (droppers) وصممت برامج الإنزال
اكتشافها. ووظيفة هذه البرامج عادة، نقل وتركيب الفيروسات، فهي تنتظر لحظة حدوث أمر معين على
الكمبيوتر، لكي تنطلق وتلوثه بالفيروس المحمول في طياا.
الكمبيوتر إلى هذه الفئة، إذ تبنى القنابل ضمن البرمجيات الماكرة كواسطة (bomb) وينتمي مفهوم قنبلة
لتنشيطها. وتبرمج القنا بل لتنشط عند حدوث حدث مع ين. تنشط بعض القنابل في وقت محدد، اعتمادًا على
من قرصك الصلب، DOC. ساعة الكمبيوت ر. فيمكن برمجة قنبلة مث ً لا، لمسح كافة الملفات ذات الامتداد
عشية رأس السنة الميلادية، أو لعرض رسالة على الشاشة، في اليوم المصادف لعيد ميلاد شخصية مشهور ة.
وتعمل بعض القنابل تحت شروط أو أحداث أخرى، فيمكن أن تنتظر القنبلة إلى أن يتم تشغيل برنامج معين،
الخاصة ذا البرنام ج. ومن وجهة النظر (templates) عشرين مرة مث ً لا، وعندها تمسح ملفات القوالب
هذه، تعتبر القنابل مجرد برامج جدولة زمنية ماكرة.
ويمكننا النظر إلى ا لفيروسات كحالات خاصة من البرمجيات الماكرة، إذ يمكن للفيروسات الانتشار بواسطة
برامج الإنزال (ولا يشترط ذل ك)، وهي تستخدم مفهوم برامج الديدان لإعادة إنتاج نفسه ا. ولا تعتبر
الفيروسات مماثلة لأحصنة طروادة من الناحية التقنية، إلا أا تشاها في نقطت ين: فهي تنفذ أعما ً لا لا يريدها
المستخدم، وتحول البرنامج الذي تلتصق به إلى حصان طروادة عمليًا (تختبئ داخله، وتعمل عندما يعمل
البرنامج، وتنفذ أعما ً لا غير مرغوبة)
ويجدر التنويه إلى أن رسالة البريد الإلكتروني نفسها لا يمكن أن تكون فيروسًا، فالفيروس برنامج، ويجب
تشغيله لكي يصبح نشط ًا. إذًا الفيروس المرفق برسالة بريد إلكتروني، لا حول له ولا قوة، إلى أن تشغل ه. ويتم
تشغيل فيروسات المرفقات عادة، بالنقر عليها نقرة مزدوجة بالماو س. ويمكنك حماية جهازك من هذه
،EXE أو COM الفيروسات، بالامتناع عن تشغيل أي ملف مرفق برسالة بريد إلكتروني، إذا كان ا متداده
أو إذا كان أحد ملفات بيانات التطبيقات التي تدعم الماكرو، مثل برامج أوفيس، إلى ما بعد فحصه والتأكد
من خلوه من الفيروسا ت. أما ملفات الرسوميات والصوت، وأنواع ملفات البيانات الأخرى القادمة
كمرفقات، فهي آمنة، ولا يمكن للفيروس أن ينشط من خلالها، ولذلك فهو لا يهاجمها.
إذًا يبدأ الفيروس دورة حياته على الجهاز بشكل مشابه لبرنامج حصان طروادة، فهو يختبئ في ثنايا برنامج أو
ملف آخر، وينشط مع ه. في الملفات التنفيذية الملوثة، يكون الفيروس قد أضاف شيفرته إلى البرنامج الأصلي،
وعدل تعليماته بحيث ينتقل التنفي ذ إلى شيفرة الفيرو س. وعند تشغيل الملف التنفيذي المصاب، يقفز البرنامج
عادة إلى تعليمات الفيروس، فينفذها، ثم يعود ثانية لتنفيذ تعليمات البرنامج الأصل ي. وعند هذه النقطة يكون
الفيروس ناشطًا، وجهازك أصبح ملوثًا.
أو يقبع ،(direct-action) وقد ينفذ الفيروس مهمته فور تنشيطه (ويطلق عليه فيروس العمل المباشر
terminate and stay resident, " منتظرًا في الذاكرة، باستخدام وظيفة "الإاء والبقاء في الذاكرة
التي تؤمنها نظم التشغيل عاد ة. وتنتمي غالبية الفيروسات لهذه الفئة، ويطلق عليها الفيروسات ،TSR)
"المقيمة". ونظرًا للإمكانيات الكبيرة المتاحة للبرامج المقيمة في الذاكرة، بدءًا من تشغيل التطبيقات والنسخ
الاحتياطي للملفات إلى مراقبة ضغطات لوحة المفاتيح ونقرات الماوس (والكثير من الأعمال الأخر ى)، فيمكن
برمجة الفيروس المقيم، لتنفيذ أ ي عمل يمكن أن يقوم به نظام التشغيل، تقريب ًا. يمكن تشغيل الفيروس المقيم
كقنبلة، فيبدأ مهمته على جهازك عند حدث مع ين. ومن الأمور التي تستطيع الفيروسات المقيمة عملها، مسح
قرصك الصلب وأقراص الشبكة بحثًا عن الملفات التنفيذية، ثم نسخ نفسها إلى هذه الملفات وتلويثها. (scan)
تقبع فيروسات قطاع الإقلاع في أماكن معينة على القرص الصلب ضمن جهازك، وهي الأماكن التي يقرأها
الكمبيوتر وينفذ التعليمات المخزنة ضمنها، عند الإقلاع. تصيب فيروسات قطاع الإقلاع الحقيقية منطقة قطاع
بينما تصيب فيروسات الفئة الفرعية المسماة ،(DOS boot record) الإقلاع الخاصة بنظام دوس
يقرأ الكمبيوتر كلا .(master boot record) قطاع الإقلاع الرئيسي للكمبيوتر ،MBR viruses
المنطقتين السابقتين من القرص الصلب عند الإقلاع، مما يؤدي إلى تحميل الفيروس في الذاكر ة. يمكن
للفيروسات أن تصيب قطاع الإقلاع على الأقراص المرنة، لكن الأقراص المرنة النظيفة، والمحمية من الكتابة،
تبقى أكثر الطرق أمنًا لإقلاع النظام، في حالات الطوار ئ. والمشكلة التي يواجهها المستخدم بالطبع، هي كيفية
التأكد من نظافة القرص المرن، أي خلو ه من الفيروسات، قبل استخدامه في الإقلاع، وهذا ما تحاول أن تفعله
برامج مكافحة الفيروسات.
نفسها بالملفات (parasitic viruses) تلصق ملوثات الملفات (وتدعى أيضًا الفيروسات الطفيلية
التنفيذية، وهي أكثر أنواع الفيروسات شيوع ًا. وعندما يعمل أحد البرامج الملوثة، فإن هذا الفيروس، عادة،
ينتظر في الذاكرة إلى أن يشغل المستخدم برنامجًا آخر، فيسرع عندها إلى تلويث ه. وهكذا، يعيد هذا النوع من
الفيروس إنتاج نفسه، ببساطة، من خلال استخدام الكمبيوتر بفعالية، أي بتشغيل البرام ج! وتوجد أنواع مختلفة
من ملوثات الملفات، لكن مبدأ عملها واحد.
وهي من الأنواع الحديثة نسبيًا، على حقيقة أن الكثير من ،(macro viruses) تعتمد فيروسات الماكرو
التطبيقات تتضمن لغات برمجة مبيتة ضمنه ا. وقد صممت لغات البرمجة هذه لمساعدة المستخدم على أتمتة
العمليات المتكررة التي يجريها ضمن التطبيق، من خلال السماح له بإن شاء برامج صغيرة تدعى برامج الماكر و.
تتضمن برامج طاقم أوفيس، مث ً لا، لغة برمجة مبيتة، بالإضافة إلى العديد من برامج الماكرو المبيتة أيضًا، والجاهزة
للاستخدام المباش ر. وفيروس الماكرو ببساطة، هو برنامج ماكرو مصمم للعمل مع تطبيق معين، أو عدة
تطبيقات تشترك بلغة ب رمجة واحد ة. أصبحت فيروسات الماكرو شهيرة بفضل الفيروس المصمم لبرنامج
مايكروسوفت وور د. فعندما تفتح وثيقة أو قالبًا ملوثين، ينشط الفيروس ويؤدي مهمته التخريبي ة. وقد برمِج
هذا الفيروس لينسخ نفسه إلى ملفات الوثائق الأخرى، مما يؤدي إلى ازدياد انتشاره مع استمرار استخدام
البرنامج.
بين تلويث قطاع الإقلاع مع تلويث (multipartite) " ويجمع نوع رابع يدعى الفيروس "متعدد الأجزا ء
الملفات، في وقت واحد.
Virus ستجد قائمة ضخمة بأسماء الفيروسات، مع شرح تفصيلي عن آثار كل منها، في قسم
من موقع مختبر مكافحة الفيروسات، الخ اص بشركة سيمانتك، على Encyclopedia
http://www.symantec.com/avcenter/vinfodb.html: العنوان
ذكاء الفيريروسات فيفي ازدياد
إن أقل ما يوصف به مطورو ال فيروسات، هو مهارم وقدرم الفذة على الابتكار، فهم يخرجون إلينا دائمًا
(stealth viruses) بطرق جديدة لخداع برامج مكافحة الفيروسات. فمث ً لا، تضلل الفيروسات المتسللة
الجديدة، برامج مكافحة الفيروسات، بإيهامها أن الأمور تسير على ما يرام، ولا يوجد أي مؤشر على وج ود
فيروس. كيف؟
يعتمد مبدأ عمل الفيروس المتسلل، على الاحتفاظ بمعلومات عن الملفات التي لوثها، ثم الانتظار في الذاكرة،
ومقاطعة عمل برامج مكافحة الفيروسات خلال بحثها عن الملفات المعدلة، وإعطائها المعلومات القديمة التي
يحتفظ ا عن هذه الملفات، بد ً لا من السماح لها بالحصول على المعلومات الحقيقية من نظام التشغيل!
فتعدل نفسها أثناء إعادة الإنتاج، مما يجعل ،(viruses polymorphic) أما الفيروسات متغيرة الشكل
من الصعب على برامج مكافحة الفيروسات التي تبحث عن نماذج معينة من مثل هذا الفيروس، اكتشاف كافة
أشكاله الموجودة، وبالتالي تستطيع الفيروسات الناجية، الاستمرار وإعادة إنتاج أشكال جديدة.
تظهر أنواع جديدة من الفيروسات إلى حيز الوجود بشكل دائم، مع استمرار لعبة القط والفأر بين مطوري
الفيروسات ومنتجي برامج مكافحتها.
بعض الفيريروسات الشائعة:
*Aol4free.com
حصان
طروادة
لا شيء! فهو يحذف الملفات من
القرص الصلب، لكنه لا ينتقل إلى
تطبيقات أخرى
من دوس) عند ) Deltree يستخدم تعليمة
تنشيطه، لحذف الملفات من القرص الصلب، وهو
السابق له Aol4free مختلف عن فيروس
*Form
مقيم، قطاع
الإقلاع
قطاع الإقلاع على الأقراص المرنة
قديم نسبيًا لكنه شائع، يصدر صوت نقرات عند
الضغط على لوحة المفاتيح
*Hare
مقيم، متغير
الشكل،
متعدد الأجزاء
،EXE و COM ملفات
وقطاع الإقلاع الرئيسي، وقطاع
الإقلاع على الأقراص المرنة
ينشط في الثاني والعشرين من أغسطس وسبتمبر،
C: و B: و A: ويحاول مسح سواقات
*Java.App
Strange Brew
ملوث ملفات،
مباشر العمل
ملفات فئات جافا
أول فيروس يصيب بريمجات جافا، ويمكنه الانتشار
عبر نظم تشغيل مختلفة، لكن لا تعرف له أضرار
*Microsoft.Exc
el.Spellcheck ماكرو جداول إكسل الممتدة
في مجلد إقلاع Spellck.xla يشكل الملف
إكسل، وهو غير مؤذ، لكنه يعرض رسائل يحذر
فيها من فيروسات الماكرو
*Monica
(Hanko.4167)
ملوث ملفات،
متسلل، مقيم
EXE و COM ملفات
يوقف عمل الكمبيوتر في الساعة السابعة وسبع
-7/ دقائق، في اليوم السابع من شهر يوليو، أي 7
Monica 7:07 ، ويظهر كلمة
W95.CIH
ملوث ملفات،
مقيم
لويندوز 95 EXE ملفات
ينشط في السادس والعشرين من كل شهر، ويحاول
الكتابة فوق ذاكرة فلاش بيوس، وتخريب بيانات
القرص الصلب
*W95.Marburg
ملوث ملفات،
مباشر العمل
ملفات التطبيقات لنظم
98 /إن.تي / ويندوز 95
ينشط بعد ثلاثة أشهر من أول إصابة به، فعند
تشغيل تطبيق ملوث، يغطي الشاشة بأيقونة الخطأ
في ويندوز، ويحذف برامج مكافحة الفيروسات
*W97/X97M
Shiver ماكرو
وثائق (ملفات بيانات) وورد 97
وإكسل 97
أول فيروس من نوع الماكرو يصيب ملفات وورد
وإكسل معًا، ويمنع تحميل الوثائق الملوثة
*Win32/Semisoft
ملوث ملفات،
مقيم
لنظم ويندوز EXE ملفات
يرسل معلومات من عدة ملفات على القرص
محددة، عبر إنترنت IP الصلب، إلى عناوين
ماكرو وثائق وورد
* WM.PolyPoster
يرسل رسالة إلى مجموعات نقاش محددة، بواسطة
ويضع وثيقة وورد ،Free Agent برنامج
الراهنة كملف مرفق بالرسالة
*XM.Compat
ماكرو، متغير
الشكل
جداول إكسل الممتدة
ينشط بعد تاريخ 31 أغسطس 1998 عند إغلاق
جدول ملوث، فيختار مجموعة عشوائية من الخلايا
العددية، ويغير قيمها بنسبة 5 بالمائة.