نقاش:الصفحة الرئيسية
أضف موضوعًاالفيروسات
ماهي الفيروسات؟
فيروسات الكومبيوتر هي برامج تتم كتابتها بغرض إلحاق الضرر بكومبيوتر آخر، أو السيطرة عليه، تمت كتابتها بطريقة معينة. سُمّيت بالفيروسات، لأنها تشبه تلك الكائنات المتطفلة في صفتين رئيسيتين: • تحتاج فيروسات الكومبيوتر دائماً إلى ملف عائل تعيش متستّرةً فيه: فالفيروسات، دائماً تتستر خلف ملف آخر، و لكنها تأخذ زمام السيطرة على البرنامج المصاب. بحيث أنه حين يتم تشغيل البرنامج المصاب، يتم تشغيل الفيروس أولاً. • تستطيع فيروسات الكومبيوتر أن تنسخ نفسها: تتم كتابة هذه البرامج المؤذية بحيث تقوم بنسخ نفسها فوراً بمجرد تشغيل البرنامج المصاب. و هي تنسخ نفسها للأقراص الأخرى، فإذا كان الكومبيوتر مصاباً ووضعت فيه قرصاً مرناً، يتم نسخ الفيروس أوتوماتيكيا للقرص المرن. و نظراً لهذه الخاصية في الفيروسات، تجد أن القرص المصاب يعطيك علامة أنه ممتلئ تماماً برغم أنك لم تقم بتخزين غير ملفات ذات حجم صغير.
ما الفرق بين الدودة و التروجان و الفيروس؟
• الدودة: تصيب الدودة الكمبيوترات الموصلة بالشبكة بشكل أوتوماتيكي و من غير تدخل الإنسان و هذا الأمر يجعلها تنتشر بشكل أوسع و أسرع عن الفيروسات . الفرق بينهم هو أن الديدان لا تقوم بحذف أو تغيير الملفات بل تقوم بتهليك موارد الجهاز و استخدام الذاكرة بشكل فظيع مما يؤدي إلى بطء ملحوظ جدا للجهاز , و من المهم تحديث نسخ النظام المستخدم في الجهاز كي يتم تجنب الديدان.
ومن المهم عند الحديث عن الديدان الإشارة إلى تلك التي تنتشر عن طريق الإيميل. حيث يرفق بالرسالة ملفاً يحتوي على دودة، و عندما يشغّل المرسل إليه الملف المرفق، تقوم الدودة بنشر نفسها إلى جميع الإيميلات الموجودة في دفتر عناوين الضحية. • التروجان: وهو عبارة عن برنامج يغري المستخدم بأهميته أو بشكله أو باسمه إن كان جذاباً, و في الواقع هو برنامج يقوم بفتح باب خلفي إن صح التعبير بمجرد تشغيله , و من خلال هذا الباب الخلفي يقوم المخترق باختراق الجهاز و بإمكانه التحكم بالجهاز بشكل كبير حتى في بعض الأحيان يستطيع القيام بأمور , صاحب الجهاز نفسه لا يستطيع القيام بها , و هذا لا يرجع لملف التروجان, لكن ملف التروجان هو الذي فتح للمخترق الباب إن صح التعبير بتشغيله إياه. • الفيروس: كما ذكرنا , الفيروس عبارة عن برنامج صمم لينشر نفسه بين الملفات و يندمج أو يلتصق بالبرامج. عند تشغيل البرنامج المصاب فانه قد يصيب باقي الملفات الموجودة معه في القرص الصلب أو المرن, لذا الفيروس يحتاج إلى تدخل من جانب المستخدم كي ينتشر , بطبيعة الحال التدخل عبارة عن تشغيله بعد إن تم جلبه من الإيميل أو تنزيله من الانترنت أو من خلال تبادل الأقراص المرنة.
كيف تعمل الفيروسات؟
في الواقع يقوم الفيروس في حالة إصابة الملف بإضافة نفسه في بداية أو نهاية الملف المصاب، دون أن يقوم فعلياً بأي تغيير في مكوّنات الملف الأصلية.
أنواع الفيروسات:
هناك عدد هائل من الفيروسات المنتشرة عبر الإنترنت , لكن أغلبها ما يقع تحت هذه النقاط الستة:
1. Boot Sector Virus هذا النوع من الفيروسات يصيب قطاع الإقلاع في الجهاز , و هو المكان المخصص الذي يتجه إليه الكمبيوتر في بداية تشغيل الجهاز. و هذا النوع من الفيروسات قد يمنع المستخدم من الوصول إلى النظام ويمنعه من إقلاع الجهاز. 2. File Virus يصيب البرامج عادة , و ينتشر بين الملفات الأخرى و البرامج الأخرى عند تشغيله. 3. Macro Virus هذه الفيروسات تصيب برامج الميكروسوفت أوفيس مثل الوورد و الإكسل, و تعتبر ذات انتشار واسع جدا تقدر ب 75% من عدد الفيروسات الموجودة. يقوم هذا النوع من الفيروسات بتغيير بعض المستندات الموجودة في القرص الصلب و خصوصا الوورد , قد تجد بعض التصرفات الغير منطقية في بعض الأحيان مثل طلب باسوورد لفتح ملف تعرف انك لم تضع عليه باسوورد , و أيضا تجد بعض الكلمات قد تغير مكانها و أضيفت كلمات جديدة لا علاقة لها بالموضوع . هي أساسا ليست ضارة, لكنها مزعجة نوعاً ما و قد تكون مدمرة أحيانا! 4. الفيروس المتعدد الأجزاء أو Multipartite Virus و هو الذي يقوم بإصابة الملفات مع قطاع الإقلاع في نفس الوقت و يكون مدمراً في كثير من الأحيان إذا لم تتم الوقاية منه. 5. الفيروس المتطور أو Polymorphic Virus هي فيروسات متطورة نوعا ما حيث أنها تغير الشفرة كلما انتقلت من جهاز إلى آخر. نظريا, يصعب على مضادات الفيروسات التخلص منها لكن عمليا و مع تطور المضادات فالخطر أصبح غير مخيف. 6. الفيروس المختفي أوStealth Virus تخفي نفسها بان تجعل الملف المصاب سليما و تخدع مضادات الفيروسات بان الملف سليم و ليس مصاباً بفيروس. مع تطور مضادات الفيروسات أصبح من السهل كشف هذا النوع.
ماهي العلامات الشائعة لوجود فيروس في الجهاز:
• بطء الجهاز الشديد، بما لا يتناسب مع عدد البرامج التي تعمل في نفس الوقت. • امتلاء القرص بما لا يتناسب مع عدد و حجم الملفات الموجودة عليه. • ظهور مربّعات حوار غريبة أثناء العمل على الجهاز. • إضاءة لمبة القرص الصلب أو القرص المرن، دون أن تقوم بعملية فتح أو حفظ ملف. لابد أن تعرف أن هذه العلامات لا تعني بالضرورة وجود فيروس، فقد يكون بعضها بسبب مشكلة في عتاد الجهاز مثلاً.
كيف نحمي أنفسنا من الفيروسات ؟
للحيطة و الحذر من الفيروسات-خاصة إذا كنت معتاداً على تبادل الأقراص المرنة، أو الملفات عبر الانترنت- لابد من اتخاذ الخطوات التالية: • لابد من موجود برنامج حماية من الفيروسات في جهازك. • لابد أن تقوم بتحديثه بشكل دوري، وإلا فلا فائدة من وجوده. • لا تقم بفتح المرفقات في أي إيميل لا تعرف مرسله. • لا تقم بفتح المرفقات في إيميلات أصدقائك إذا وجدتها تنتهي بـ exe أو bat أو أي امتداد لا تعرفه. • لا تقبل ملف من شخص لا تعرفه أبداً. • إذا قبلت ملفاً من شخص تعرفه، افحصه أيضاً ببرنامج الحماية، فقد يكون صديقك نفسه ضحية. • احرص على فحص جميع البرامج التي تقوم بتنزيلها من الإنترنت، أو تشغيلها من قرص مرن أو سي دي. قبل أن تشغّلها. داوم على زيارة المواقع التي تهتم بالحماية من الفيروسات، للإطلاع على كل ما هو جديد في هذا المجال، و لاتخاذ الحيطة، فدرهم وقاية خيرٌ من قنطار علاج.
معلومات عامة عن برامج الحماية من الفيروسات
كما أسلفنا لابد من وجود برنامج الحماية من الفيروسات في الجهاز. ويقوم البرنامج بفحص و تدقيق الملفات و حماية الجهاز كما ينبغي. وهو يقوم بهذا العمل عن طريق الفحص عن بصمات الفيروسات. فلكل فيروس بصمة عبارة عن رقم محدد. و برنامج الحماية في الواقع يبحث عن هذه البصمة المحددة فإن وجدها فإنه يعلن عن وجود الفيروس. وهو إذ يقوم بذلك يقارن بين الملفات و بين جدول لبصمات الفيروسات المختلفة. إن الكثير من الفيروسات تتم كتابتها و نشرها في الأسبوع الواحد و هكذا ترى أنه من المهم جداً أن يكون هذا الجدول محدّثاً باستمرار. لذا فإن وجود برنامج الحماية نفسه ليس كافياً أبداً. بل لابد من تحديثه باستمرار. بعض برامج الحماية من الفيروسات، تقوم بالحماية من التروجان و الوورم أيضاً، و لكن هناك بعض البرامج المتخصصة في مجال الحماية من الاختراق، التي تعمل بمساندة برامج المكافحة لحماية جهازك من أي ضرر. لعل أشهر برامج مكافحة الفيروسات (أو الحماية من الفيروسات) اثنين، هما برنامج Norton للحماية من الفيروسات http://www.norton.com، و برنامج MacAfee للحماية من الفيروسات: http://www.mcaffee.com وهذا الموقع يوفّر خدمة الفحص عبر الانترنت مقابل سعر معقول.
مواقع مفيدة: مواقع توفّر معلومات عن الفيروسات: • موقع يقدّم أحدث المعلومات عن الفيروسات مع ملفات التخلّص منها من مكافي • تعرّف على الفيروسات و طرق الوقاية منها • Introduction to viruses • How Computer Viruses Work
مواقع برامج الحماية من الفيروسات:
• McAfee's Virus Information Library
• SARC: Symantec Antivirus Research Center
• http://www.antivirus.com
يقدم هذا الموقع إمكانية كشف الفيروسات مجاناً مباشرة عبر النت، و لكن لابد من معرفة أن هذه العملية تعني أنّك تعطي الموقع إمكانية حذف الملفات في جهازك، فإذا شئت فقم بها على مسؤوليتك الخاصة.
ملاحظات مهمّة:
• تتم إصابة جهازك أو قرصك بفيروس فقط حين تقوم بتشغيل برنامج مصاب. • يمكن لأي قرص أن يصاب بفيروس الـ boot sector. • مجرّد وجودك في الانترنت لا يعرّضك للإصابة بفيروس (بدون فتح أي موقع). و لكنك تصاب به فقط إذا قمت بتنزيل برنامجاً مصاباً من الانترنت و قمت بتشغيله. • لابد أن تحرص على استخدام نسخاً قانونية و مسجّلة من البرامج. • لابد أن تقوم بعمل باك أب لملفاتك المهمة بشكل دوري و ذلك لاسترجاعها في حالة فقدانها لأي سبب تقني أو تعرّضك لفيروس. • لابد أن يكون في جهازك برنامجاً للحماية من الفيروسات، و لابد أن تقوم بتحديثه بشكل وري. لابد أن تقوم بفحص جميع البرامج التي تنوي تشغيلها، و كذلك جميع الأقراص التي تقوم شرائها قبل أن تشغّلها.
ما هو التروجان ؟؟ تعريف: التروجان هو برنامج تجسس و له أسماء أخرى مثل خادم (Server) أو اللاصق (Patch) أو الجاسوس (Spy) لكن مبدعين هذا النوع من الملفات يفضلون الأسماء الرنانة و اسم تروجان هو نسبة إلى حصان طروادة. لكن مع اختلاف المسميات فهو برنامج تجسسي يجعل من حاسبك خادم لحاسب الجاسوس, أي يتمكن الجاسوس (و هو الشخص الذي بعث إليك هذا التروجان) من التحكم بجهازك و كأنه أنت, لكن مع الأخذ بعين الاعتبار أن ذلك فقط في حال أنت متصل بالإنترنت أو الشبكة و ليس هذا فقط بل و عندما يعرف أنك على الإنترنت أما غير ذلك فهو لا حول له ولا قوة. كيف يلج إلى التروجان إلى حاسبي: 1- عن طريق برامج المحادثة مثل Microsoft chat و ICQ و Mirc و MSN و Yahoo .. الخ. فلا تستقبل أي ملف مهما يكن و خاصة التي يكون امتدادها exe و حاليا ً ظهرت برامج تقوم بتغير امتداد الصور إلى exe فبعض الهاكرز يستخدمها في الضحك على الضحايا و يقول لهم أنها صور مغير امتدادها إلى exeو لكنه قد يدس التروجان بداخلها أو قد تكون هي التروجان بحالها. 2- عن طريق البريد الالكتروني: لذا قم بحذف جميع الرسائل المجهولة و التي لا تعرف من هو مرسلها. 3- عن طريق تحميل برامج من مواقع مشبوهة: الحل : أن تفعل خاصية الحماية التلقائية لبرنامج Norton Antivirus و الذي هو أقوى برامج الحماية على الإطلاق لأنه يتعامل مع الفيروسات و برامج التجسس على حد سواء. 4- عن طريق المنتديات التي تفعّل خاصية html قد يأتي من هو حاقد على المنتدى و يزرع الكود في رد لموضوع أو في موضوع جديد. الحل : بسيط جدا ً لأنه ليس من مسؤوليتك بل من مسؤولية مشرف الموقع. 5- عن طريق الماسنجر بأنواعها هناك برنامج جديد و لكني لا اعلم مدى مصداقية كاتبه و هو يقوم بعمل سرقة الملفات و الصور من جهاز الطرف الآخر إذا كان online و من دون إذنه و اسم البرنامج imesh . الحل : لا تضيف إلا من تعرفهم و إذا صادفت أي شخص لا تعرفه و شكيت فيه فقم بعمل حظر ثم حذف, لكن إذا كان في جهازك تروجان و حظرته فسوف يدخل و أنت لا تعلم لأن الحظر لن يفيد ما دام الخادم في جهازك يستقبل أوامر العملاء, و أنا لي وقفة بسيطة حول هذا البرنامج قد يكون هذا البرنامج مثل أخواتها من التروجانات .. قد تسمح لمصمم البرنامج أن يتجسس عليك و أنت تحاول أن تتجسس على الآخرين عملا ً بشعار افتراس المفترس و هذا هو حال كثير من برامج التجسس. كيف أتخلص من التروجان إذا أصاب جهازي: قبل كل شيء يجب أن تعرف أن الملف التجسسي إذا أصاب جهازك فإنه سوف يستوطن في واحد على الأقل من الأماكن التالية: 1- في الريجستري . 2- في الملف Startup . 3- في الملف System.ini . 4- في الملف Win.ini . أما للتخلص منه فإليك الطريقة.. هناك طريقتين لحذف التروجان و هي مجربة على ويندوز 98 و هي إما بواسطة برامج الحماية و هذه هي الطريقة الأوتوماتيكية, أو الطريقة اليدوية عن طريق DOS و هي الأفضل و الأقوى من خلال التجارب مع Trojans إذا عملت بحث بواسطة برامج الحماية و صدف إنه في بعض الأحيان لا يمكن حذف التروجان بواسطة برامج الحماية لأن التروجان قد يحذف معه ملف مهم من ملفات النظام و في هذه الحالة تضطر إلى استخدام الطريقة الأخرى و هي الأفضل و الأسلم و هي كالتالي: لنفرض أن التروجان اسمه Server تمكن من معرفته برنامج الحماية, أول خطوة و هي أن تتأكد هل هو يشتغل مع تشغيل الجهاز و ذلك بفعل التالي: اضغط على زر start اختر run اكتب: msconfig ثم اختر Start UP و من هناك ابحث عن اسم التروجان و غالبا ً ما يكون اسمه على الاسم الذي تم كشفه, ثم إذا وجدته أزل علامة الصح من أمامه ثم اعد تشغيل الجهاز. يمكنك مراجعة الطرق الأخرى بالضغط على هذه الوصلة
الخطوة الثانية و هي أن تحاول أن تجمع اكبر قدر من المعلومات عن التروجان الذي تم اكتشفاه حتى تتعرف عن أماكن اختبائه في الجهاز و عن تسجيل نفسه في الريجستري أو Win.ini أو System.ini أو جميعها معا ً, و أفضل ثلاث مواقع يقدم لك الاستفسار الكامل عن أي تروجان هم http://www.dark-e.com/archive/trojans/ http://www.google.com/ http://www.moosoft.com/tdbindex.php
الخطوة الثالثة بعد إعادة التشغيل ينبغي أن تكتب اسم التروجان كامل في ورقة خارجية ثم تذهب إلى الدوس عن طريق إعادة التشغيل و اضغط على Ctrl أو F8 أو استخدام قرص الإقلاع اختار Ms-Dos prompt في حال كنت تستخدم Win ME أو عن طريق الدوس الخارجة عن نطاق الويندوز و هي من ابدأ ثم إيقاف التشغيل ثم اختر الرجوع إلى بيئة الدوس RESTART IN MS-DOS MODE و ذلك في حال أنك تستخدم Win 98 ثم اتبع هذه الطريقة لكي تبحث عن التروجان و انتبه إلى المسافة بين الأمر dir و بين اسم التروجان و لا تنسى النجوم *.* : C:/Windows>dir server *.* ثم إنتر و إذا وجدت أي ملف اسمه server و امتداده الأخير هو exe فهو مطلبك و عليك أن تحذفه بهذه الطريقة و انتبه إلى المسافة بين deltree و بين اسم التروجان ولا تنسى النجوم *.* : C:/Windows>Deltree server *.* ثم إنتر ثم راح تسأل سؤال ضع علامة Y و قد يكون هناك أكثر من برنامج يحمل نفس الاسم و لكن الامتداد يختلف.. أهم شيء انك تبحث عن اسم التروجان server و الذي يكون امتداده exe هذه هي الطريقة اليدوية و الفعالة في حذف التروجان من الجهاز طبعا ً تضع بدل من كلمة server الاسم الذي تم رصده من مكافحات التجسس.. ثم اعد تشغيل الجهاز. ملاحظه مهمة جدا ً: هناك أمر أخر للحذف و هو Del و لكني أفضل الأمر Deltree لأنه اشمل في الحذف و يقوم بحذف كل شيء مخفي من اثر التروجان و يتعقبه في كل الأدلة و ليس مثل الأمر Delو الآن نحن في الويندوز و بعدما تم حذف التروجان و بقي أن نزيل بعض من آثاره من win.iniأو system.iniأو الريجستري. طبعا ً بعدما تدخل إلى إحدى المواقع اللي فوق و بعدما تبحث عن اسم التروجان الذي تريده أن تعرفه عنه, و كان تروجانك هو server و حصلت على هذه المعلومات من المواقع السابقة و هي انه من فصيلة Sub 7 و أهم شيء من المعلومات هذه من القسم How To Remove و عليك أن تتبع مسار التروجان في مكانه.. و بعد التمحيص عن التروجان وجدناه يسجل نفسه في الريجستري, اذهب إلى المفتاح التالي HKET_LOCAL_MACHINE Software Microsoft Windows Current Version و ابحث عن الأسماء التالية RunDLL32r ,PATCH.EXE ,EXPLO32 ,SERVER.EXEC ,Explorer32 , ,WINDOWSEXPL32.EXE في المفتاحين Run و Run Services و لاحظ على الملفات جيدا ً فإن لم يقابلها Data أو يظهر أمامها سهم صغير à فهو ملف تجسس إذ ليس له عنوان معيين في الويندوز, و عندما تجد احد تلك الملفات قم بحذفه, و بعدين تسوي إعادة تشغيل, و الآن عليك البحث في الملفين Win.ini و System.ini و اللذين تشغلهما من Run ثم اختر الملف System.ini و ابحث في قسم الـ Boot عن أي اسم غريب تحت هذا السطر shell=Explorer.exe ثم أزل منه الصح لكن تحقق من انه تروجان و هكذا. بعض التروجانات قد تحذف معها ملفات مهمة من الجهاز و في هذه الحالة يتطلب منك إرجاعها و طريقة الاسترجاع كالتالي: في تشغيل Run اكتب SFC ثم إنتر ثم اختر الإعدادات Settings ثم في آخر شيء ضع علامة صح تفقد الملفات المحذوفة Check for deleted files ثم اختر موافق و بعدها اختر Start و اترك البرنامج يقوم بعمل فحص للملفات قد يكون هناك ملف محذوف و يتطلب رجوعه بواسطة CD.. طبعا ً على حسب نوع النظام اللي عندك يعني إذا عندك نظام 98 لازم قرص 98 و هكذا إذا وجد ملف محذوف يطلب القرص و أكمل بعدها إجراءات استرجاعه.