الفيروسات ومكافحتها الجزء الثانى

الفيروسات متعددة القدرة التحولية
وهذه الفيروسات لها القدرة الديناميكية على التحول وتغيير الشفرات عند الإنتقال من ملف إلى آخر لكي يصعب اكتشافها .
الفيروسات متعددة الأجزاء Multipartite
يجمع هذا النوع الذي يدعى الفيروس " متعدد الأجزاء " Multipartite بين تلويث قطاع الإقلاع مع تلويث الملفات في وقت واحد .
فيروسات قطاع الإقلاع
تقبع فيروسات قطاع الإقلاع في أماكن معينة على القرص الصلب ضمن جهازك وهي الأماكن التي يقرؤها الكمبيوتر وينفذ التعليمات المخزنة ضمنها عند الإقلاع وتصيب هذه الفيروسات منطقة قطاع الإقلاع الخاصة بنظام DOS Boot Record بينما تصيب فيروسات الفئة الفرعية المسماه MBR Viruses قطاع الإقلاع الرئيسي للكمبيوتر Master Boot Record حيث يقرأ الكمبيوتر كلا المنطقتين السابقتين من القرص الصلب عند الإقلاع مما يؤدي إلى تحميل الفيروس في الذاكرة يمكن للفيروسات أن تصيب قطاع الإقلاع على الأقراص المرنة لكن الأقراص المرنة النظيفة والمحمية من الكتابة تبقى أكثر الطرق أمناً لإقلاع النظام في حالات الطوارئ والمشكلة التي يواجهها المستخدم بالطبع هي كيفية التأكد من نظافة القرص المرن أي خلوه من الفيروسات قبل استخدامه في الإقلاع وهذا ما تحاول أن تفعله برامج مكافحة الفيروسات .
الفيروسات الطفيلية :
تلصق الفيروسات الطفيلية Parasitic Viruses نفسها بالملفات التنفيذية وهي أكثر أنواع الفيروسات شيوعاً وعندما يعمل أحد البرامج الملوثة فإن هذا الفيروس عادة ينتظر في الذاكرة إلى أن يشغل المستخدم برنامجاً آخر فيسرع عندها إلى تلويثه وهكذا يعيد هذا النوع من الفيروس إنتاج نفسه ببساطة من خلال استخدام الكمبيوتر بفعالية أي بتشغيل البرامج ! وتوجد أنواع مختلفة من ملوثات الملفات لكن مبدأ عملها واحد .
الفيروس المتطور Polymorphic Virus
هي فيروسات متطورة نوعاً ما تغير الشفرة كلما انتقلت من جهاز إلى آخر ويصعب نظرياً على مضادات الفيروسات التخلص منها لكن عملياً ومع تطور المضادات فالخطر أصبح غير مخيف .
فيروسات الماكرو
يعتبر هذا النوع من الفيروسات أحدث ما توصلت إليه التقنية في هذا المجال وغدت تشكل تهديداً كبيراً لأسباب عديدة هي :
تكتب فيروسات الماكرو بلغة Word المتوفرة لكثير من المستخدمين ، وهي أسهل من لغات البرمجة التقليدية .
أول فيروسات من نوعها تصيب ملفات البيانات أكثر من الملفات التنفيذية إذا أضفنا لذلك أيضاً البريد الإلكتروني وإمكانية إلحاق ملفات البيانات معها وكذلك الاستخدام غير المحدود لشبكة الإنترنت لذلك كله يكون خطر فيروسات الماكرو وأشد وأكبر من خطر الفيروسات التقليدية .
هذا النوع من الفيروسات لا يتقيد بنظام تشغيل معين فهناك مثلاً إصدارات من برنامج Word الشهير لأنظمة Windows باختلاف نكهاتها مما يجعل إمكانية الإصابة بهذا النوع من الفيروسات أكبر وليست فيروسات الماكرو حكراً على برنامج Word فهناك فيروسات تصيب برنامج Word Pro من Lotus ولكنها لاتكون متعلقة بالوثيقة كما هي الحال في برنامج Word وإنما في ملف منفصل وهناك أنواع أخرى كثيرة من الفيروسات التي تصيب نوعاً معيناً من الملفات حسب أسمائها أو أنواعها ويضيق المجال هنا عن ذكرها وخاصة أن انتشارها بات محدوداً جداً
أعراض الإصابة بالفيروس :
تصاحب الأعراض التالية ظهور الفيروس وتعتبر علامات الإصابة به :
نقص شديد في الذاكرة ، للذاكرة ثلاث حالات فقبل دخول الفيروس تكون الذاكرة في حالة طبيعية ثم بعد أن يبدأ الفيروس في العمل يلاحظ نقص شديد في الذاكرة وذلك لأن الفيروس في هذه الحالة يبدأ في تدمير الذاكرة وكذلك ملفات التبادل Swap Files عن طريق إزالة البيانات المخزنة مما ينتج عنه توقف البرنامج العامل في الوقت ذاته لعدم وجود أي بيانات في الذاكرة وإنما يستبدلها الفيروس بمجموعة من الأصفار في مكان تعليمات التشغيل ، أما الحالة الثالثة بعد أن يكرر الفيروس نفسه يحتل الذاكرة .
بطء تشغيل النظام بصورة مبالغ فيها
عرض رسائل الخطأ بدون أسباب حقيقية
تغيير في عدد ومكان الملفات وكذلك حجمها بدون أي أسباب منطقية .
الخطأ في استخدام لوحة المفاتيح عن طريق إظهار أحرف غريبة أو خاطئة عند النقر على حرف معين
توقف النظام بلا سبب
استخدام القرص الصلب بطريقة عشوائية وتستطيع أن تلاحظ ذلك من إضاءة لمبة القرص الصلب حتى وإن كان لايعمل .
اختلاط أدلة القرص أو رفض النظام العمل منذ البداية .
استرتيجية الهجوم للفيروس :
أهداف هامة يجب عليه أن ينجزها وهي إما أن تكون برنامجاً أو ملفاً معيناً وهدف الهجوم يختلف من فيروس إلى آخر وأيضاً حسب نظام التشغيل .
أماكن الفيروس الإستقرارية :
يبحث الفيروس عن أهداف يضمن وجودها في أي نظام تشغيل وهي التي لا يستطيع أي نظام أن يعمل بدونها ، وفي نظام Windows أو اي نظام تشغيل آخر يعتمد على DOS فإن الملف المستهدف دائماً من قبل الفيروسات هو COMMAND.COM وذلك لأن الملف موجود دائماً في الدليل الرئيسي للفهرس الخاص بالنظام حيث أن هذا الملف هو المسئول عن استقبال أوامر التشغيل التي تدخلها وتقرير تنفيذها إن كانت من أوامر التشغيل الداخلية أو من أوامر التشغيل الأخرى التي تنتهي بالامتدادات COM,EXE,BAT وفيروسات هذا النوع أكثر تنوعاً من فيروسات قطاع بدء التشغيل ، ويمكن تصنيف فيروسات البرامج في أربع مجموعات .
الفيروسات المتطفلة : وهي التي تلصق نفسها بالملفات لكي تتكاثر وتبقى الملف الأصلي بحالة سليمة في الغالب .
الفيروسات المرافقة : تعتمد على قاعدة الأسبقية في التنفيذ للملفات COM وتتمكن من نقل العدوى عن طريق إنشاء ملف جديد بدون تغيير طول الملف .
الفيروسات الرابطة : تصيب البرامج بتغيير المعلومات في جدول مواقع الملفات FAT بحيث تبدأ البرامج المصابة من المواقع ذاته وهو عادة الـCluster الأخيرة في القرص والذي يتضمن نص الفيروس مما يضمن له انتشاراً سريعاً كما في فيروس DIRII .
الفيروسات المستبدلة : تقوم بالكتابة فوق جزء من البرنامج بدون تغيير حجم الملف ، مما يؤدي إلى فشل البرنامج عند تنفيذه كما في فيروس BURGER405
وهناك حيلة طريفة يلجأ إليها بعض المبرمجين الأذكياء بتغيير إسم هذا الملف لكي يصعب على الفيروس ربط نفسه به وهناك أيضاً ملفات BAT,AUTOEXEC,SYS,CONFIG حيث يبحث النظام عنها عند بدء التشغيل وينفذ ما بها من تعليمات . وهناك ملفات أخرى تمثل إغراء أكثر جاذبية للفيروس وهي : IBMBIO.COM,IBMDOS.COM لأنها ملفات مخفية فبالرغم من وجودها في الفهرس الرئيسي إلا إنه يصعب اكتشاف الفيروس عند عرض دليل الملفات . ومن أماكن الفيروسات المفضلة مخزن COMS وهو مكان في الذاكرة يتم عن طريقه ضبط ساعة النظام وهذا المكان في منتهى الخطورة لأنه :
توجد به طاقة عن طريق البطاريات التي تستخدم في المحافظة على توقيت النظام حتى بعد أن يتم إغلاق الكمبيوتر .
لأنها أول مكان يتم تشغيله عند بدء التشغيل كما أن هذا المكان لايظهر عند عرض الملفات بالأمر DIR .
عن طريق هذا المكان يحدد الفيروس توقيت تشغيله متى حانت ساعة الصفر .
المكان الآخر الذي يمكن للفيروسات إصابته والاستقرار فيه هو ملفات البرامج وخاصة الملفات التنفيذية من نوع COM و EXE أو SYS وغيرها .
يتبع ......