لا يمكن للفيروسات ان تنشا من ذاتها او مع مرور الزمن و يمكن ان تنتقل من كمبيوتر مصاب لاخر سليم بواسطة الاقراص المرنة او عبر خطوط الاتصالات او ضمن الشبكات و بذلك يمكنها ان تنتقل من جهاز لاخر او من مكتب لاخر او من شركة لاخرى و يمكننا ان نميز بين فئتين من فيروسات الكمبيوتر تبعا لالية العدوى و انتشار افيروس:

فيروس العدوى المباشرة Direct Infector
عندما يتم تنفيذ برنامج مصاب بفيروس من هذا النوع فان ذلك الفيروس بيبحث بنشاط عن ملف او اكثر لينقل العدوى اليه و يمكن ان يقتصر البحث على الدليل او الفهرس الحالي او يتعدى ذلك ليشمل جميع الادلة الفرعية الموصوفة في جملة المسار path و عندما يصيب احد الملفات بالعدوى فانه يقوم بتحميله الى الذاكرة و تشغيله و هذا النوع قليل الانتشار لان الية العدوى ليست فعالة كثيرا كما في فيروس Vienna الذي يصيب الملفات من نوع comو يخربها بشكل عشوائي بان يستبدل الرموز الخمسة الاولى بقفزة لاعادة اقلاع الكمبيوتر

فيروسات العدوى الغير مباشرة Indirect Infector
عندما يتم تنفيذ برنامج مصاب من هذا النوع فان ذلك الفيروس ينتقل الى ذاكرة الكمبيوتر و يستقر فيها و يتم تنفيذ البرنامج الاصلي ثم يصيب الفيروس بالعدوى كل برنامج يتم تحميله في الذاكرة بعد ذلك الى ان يتم قطع التغذية الكهربائية عن الكمبيوتر او اعادة تشغيله و جميع فيروسات قطاع بدء لتشغيل boot sector viruses هي من هذا النوع
ان الذي تستطيع فيروسات الكمبيوتر عمله عندمتا يتم تنشيطها يعود لكاتب برنامجها و تكون النتيجة في حالات عديدة غير مؤذية اطلاقا مثل كتابة رسالة ما على الشاشة كما في فيروس shake الذي يظهر عبارة shake well before use عند تنفيذ ملف .com مصاب به او اسماع نغمة موسيقية كما في فيروس frere Jacques الذي يعزف هذه الموسيقى ايام الجمعة
و قد يكون التاثير ضارا كما في فيروس Friday 13 او Jerusalem الذي يصيب الملفات من نوع .com و يحذف كل الملفات التي تنفذ يوم الجمعة الثالث عشر من اي شهر و يمكن في بعض الحالات ان يتنوع سلوك الفيروس كما في فيروس Christmas الذي يدمر جدول مواقع الملفات fat اذا نفذ اي ملف مصاب به في الاول من نيسان بينما يعرض صورة لشجرة الميلاد على الشاشة اذا نفذ الملف المصاب به بين 24 كانون الاول و بداية العام الجديد
اما الفيروسات الاكثر خطورة فتسبب الضررفي الخفاء بدون ان تسمح لك بمعرفة ما يحدث و عندما يتم كشفها تكون تاثيراتها الضارة المتراكمة كارثة حقيقية حتى و لو كنت تحتفظ بنسخ احتياطية بشكل منتظم كما في فيروس datacrime

يمكن لكل الانواع السابقة من الفيروسات ان تستخدم احدى التقنيات التالية لاخفاء وجودها و جعل اكتشافها عملا صعبا نوعا ما:

الخداع Stealth
تستخدم الفيروسات طرقا فعالة للتمويه من اجل اخفاء وجودها كمثال اذا حاولت قراءة المعلومات في قطاع بدء التشغيل لقرص مصاب بفيروس brain و كان الفيروس نشطا في الذاكرة فسوف يعرض لك معلومات القطاع الاصلي و ليس المصاب.فيروس frodo يصيب الملفات و لكن ذلك لا يمكن اكتشافه اذا كان الفيروس نشطا لانه يعمد الى الغاء الاصابة من الملف الذي تحاول قراءته. فيروس dir سوف يعرض لك الطول الاساسي للملف المصاب و يخدع بذلك البرامج المضادة للفيروسات و التي تعتمد طريقة تدقيق المجموعchechsum لملاحظة التعديلات التي تطرا على الملفات.

التشفير العادي Encryption
تستخدم بعض الفيروسات مفهوم التشفير لمنع البرامج المضادة للفيروسات و التي تعتمد مبدا البحث scnners من اكتشافها و ذلك بان تضيف الى كل رمز في نص الفيروس رمزا مفتاحا key يؤخذ بشكل عشوائي في كل نسخة جديدة من الفيروس و يتم اكتشاف هذه الفيروسات بالبحث عن طريقة التشفير المتبعة و التي تكون في بداية نص الفيروس كما في فيروس whale الذي يوجد منه اربعون نوعا مختلف التاثير.

التشفير المعقد Polymorphism
تستخدم بعض الفيروسات نظاما متقدما للتشفير يكون فيه الرمز متغيرا طول الوقت عوضا عن البقاء ثابتا. و كتابة البرامج المضادة للفيروسات اصعب من مجرد استخدام الصيغ النموذجية templates للبحث عن الفيروسات،و كذلك كتابة الفيروسات من هذا النوع هي صعبة حتى مع انتشار برامج خاصة لتوليد التشفير engines، و تاتي خطورة هذا النوع من الفيروسات من ان اكتشافها اكثر صعوبة و اقل وثوقية و عملية اصلاح الملفات المصابة غير مفيدة كما في فيروس tremor الذي يقدر عدد اشكاله المختلفة بستة مليارات.

تنتقل معظم الفيروسات بعد ان تصبح مقيمة في ذاكرة الحاسب تحت النهاية العليا للذاكرة top of memory اي تحت حدود ال640 و يمكن اكتشاف وجود الفيروس في الذاكرة باستخدام احد الامرين mem او chkdsk في نظام التشغيل دوس،فمثلا في حالة الفيروس stealth-boot فان تنفيذ الامر mem يعطي 636k بدلا عن 640 و الامر chkdsk يعطي 264651 بايت بدلا عن 655360 بايت
اما اذا كان النقص في قيمة الذاكرة هو 1k اي ان الامر Mem اعطى القيمة 639k فان السبب على الغالب لا يمت للفيروسات لان عدد الفيروسات التي تحتل كيلوبايت واحد فقط من ذاكرة الحاسب قليل جدا و من اسباب حدوث ذلك:
1. الحاسب من طراز IBM ps/2 و الذي يحجز مقدار كيلو بايت من الذاكرة الاصطلاحية من اجل تخزين معلومات اضافية مطلوبة لنظام الدخل و الخرج الاساسي BIOS
2. ضابط التحكم من نوع اسكزي SCSI Controller
3. النماذج القديمة من اجهزة Compaq
ومن ناحية اخرى فقد يكون النقص في قيمة الذاكرة هو 2k او اكثر بدون وجود فيروس في ذاكرة الحاسب و من اسباب حدوث ذلك:
1. بعض برامج التحكم بالدخول بالحاسب و التي تمنع الاقلاع من القرص المرن
2. الحواسب من نوع hpvectra
3. بعض الحواسب التي تستخدم انواعا خاصة من الـ bios التي تستخدم الذاكرة كميقاتية او حاسبة
وللتاكد من وجود الفيروس في الذاكرة او عدمه يجب تشغيل عدد من البرامج الفاحصة scanners.

استخدام FDISK لاستبدال سجل الاقلاع الرئيسي للقرص الصلب

يمكن استخدام الامر FDISK للتخلص من الفيروسات التي تصيب سجل الاقلاع الرئيسي للقرص الصلب MBR و لكن يجب الحذر لان استخدامه بشكل خاطئ قد يسبب ضياع المعلومات للابد و عدم امكانية استرجاعها فاذا لم تكن متاكدا من حالتك فلا تستخدمه مطلقا.

قبل تنفذيذ هذا الامر يجب عمل نسخة احتياطية من جميع الملفات الموجودة على القرص الصلب و يفضل استخدام الشريط المغنط اذا كان ذلك ممكنا و لا يكون هذا الاجراء مناسبا في اية اصابة فيروسية تسبب ضررا لمناطق اخرى غير قطاع الاقلاع الرئيسي مثل تخريب جدول مواقع الملفات FAT او تخريب جدول تقسيمات القرص الصلب او وجود وحدات تخزين مفقودة او مناطق غير صالحة للتخزبن لان تصحيح سجل الاقلاع الرئيسي في هذه الحالات باستخدام FDISK سيؤدي الى منع الادوات الاخرى مثل SCADISK و CHKDSK من اصلاح هذه المشاكل و لكي نستخدم الامر بالطريقة الصحيحة نتبع ما يلي:

1. اقلاع الحاسب من قرص مرن نظيف يتضمن نفس نسخة نظام التشغيل الموجودة على القرص الصلب المراد معالجته

2. عند ظهور اشارة النظام A:> نكتب C: ونضغط ENTER فاذا ظهرت الرسالة Invalid Drive Specification فلا تتابع العمل لان النتائج غير محمودة

3.عند ظهور اشارة c:> انتقل للدليل الفرعي dos و نفذ الامر FDISK فاذا لم يتمكن من التعرف على جميع اقسام القرص الصلب كان يوجد قسم خاص بنظام OS/2 فلا تتابع العمل ايضا

4. لا يمكن استخدام FDISK للتخلص من الفيروس Monkey و اشباهه، حيث يتعذر الوصول للقرص الصلب و كذلك عند استخدام برامج حماية خاصة مثل DISKLOCK او برامج خدمية لاعداد القرص الصلب مثل disk managerعند التاكد من عدم وجود اية حالة مما ذكر يمكن تنفيذ الامر FDISK/MBR حيث ستظهر اشارة النظام فورا ، وسيكون قد تمت كتابة نسخة سليمة من سجل الاقلاع الرئيسي خالية من الفيروسات بدون اجراء اية تغيرات على اقسام القرص الصلب ( اي لم يطراء اي تعديل على المعلومات الموجودة على القرص الصلب) و ينصح مستخدم الكمبيوتر باستخدام البرامج المضادة للفيروسات من اجل التاكد من خلو الكمبيوترو الاقراص من الفيروسات و لازالتها في حالة الاصابة و لمنعها من اختراق الكمبيوتر في المستقبل. و يجب التاكيد على ضرورة اعادة اقلاع النظام انطلاقا من قرص اقلاع نظيف و مامون من الفيروسات قبل تنفيذ البرامج المضادة للفيروسات لان اكثر الفيروسات تستخدما طرقا للتمويه و لخداع النظام عندما تكون موجودة في ذاكرة الحاسب.

وسجل تقرير شركة "سيمانتك" الشرق الأوسط وشمال أفريقيا للعام 2005م تزايد نسبة وقوع الهجمات التي تستهدف الشركات والأجهزة الشخصية بغرض الربح المادي أو السرقة من خلال الكشف عن المعلومات السرية لبطاقات الائتمان أو التفاصيل البنكية، حيث شكلت الشيفرة الخبيثة التي ساهمت في الكشف عن المعلومات السرية 47 في المئة من 50 شيفرة خبيثة تم إبلاغ "سيمانتك" بها خلال النصف الأول من عام 2005م في منطقة الشرق الأوسط. ويمثل التحول النوعي في أداء البرامج الماكرة، التي صممت في البداية بهدف نشر الفوضى إلى أيقونات دخيلة تهدف إلى التجسس والسرقة، خطراً حقيقياً يصبح معه الاستثمار في برامج المكافحة أوفر بكثير، برغم الميزانيات الضخمة التي يتم رصدها لذلك.
وقدر حجم السوق العالمي لمكافحة الفيروسات خلال العام الماضي 2005م، بحوالي 21 مليار دولار، أما سوق الشرق الأوسط فتفوق حصته 1.4 مليار دولار، وتصنف منطقة الشرق الأوسط على أنها من المناطق المتقدمة في قطاع تبني حلول مكافحة البرامج الماكرة.
وبلغ إنفاق المملكة العربية السعودية على تكنولوجيا المعلومات في العام السابق أكثر من 194 مليار دولار، ويتوقع أن يرتفع هذا الرقم إلى 236 مليار دولار بحلول العام 2007م، أي بمعدل نمو سنوي تراكمي نسبته 101 في المئة يخصص جزء رئيسي منه لحماية أمن المعلومات.
وفي الوقت الذي تتجه فيه أصابع الاتهام إلى الشركات الموفرة لحلول مكافحة الفيروسات على أنها اليد الخفية وراء تنوع وانتشار مظاهر الوباء، تواصل هذه الشركات جني أرباح طائلة تجعلها في مقدمة شركات تكنولوجيا المعلومات قياساً بالعائدات السنوية.
وتحتل شركة "سيمانتك" مكانة متقدمة، ضمن شركات تكنولوجيا المعلومات الأكثر ربحاً، حيث بلغت عائداتها في السنة المالية المنتهية في شهر أبريل 2004م ما قدر بـ1.87 مليار دولار، ويتوقع أن تبلغ عائداتها في نهاية السنة المالية الحالية والتي تمتد إلى أبريل 2006م، ما يصل إلى 4.07 مليار دولار. وفي سياق خلق تكتلات في قطاع مكافحة الفيروسات ودمج أحدث التقنيات، أنهت الشركة في شهر سبتمبر الماضي صفقة شراء لشركة "فيرتس" المنتجة لبرامج مكافحة الفيروسات أيضاً، بلغت قيمتها 11 مليار دولار، وعليه تتوقع "سيمانتك" أن ترتفع عائداتها خلال العام 2007م إلى 5.35 مليار دولار. وتشتهر "سيمانتك" ببرامجها "نورتن أنتي فيروس" و"نورتن كوماندور" و"نورتن إنترنت سيكيورتي" و"نورتن أنتي سبام" و"نورتن فايروول".
وتعد شركة "مكافي" من الشركات البارزة في قطاع تطوير برامج مكافحة الفيروسات، وحققت الشركة في الربع الرابع من العام الماضي فقط، ربحاً صافياً وصل إلى 39.7 مليون دولار، حيث بلغت العائدات الكلية للشركة خلال العام 2005م ما قيمته 987.3 مليون دولار، وذلك بارتفاع بنسبة 8 في المئة عن العام 2004م.
وبالنظر إلى حجم الإنفاق المتوقع في قطاع مكافحة البرامج الماكرة خلال السنوات المقبلة، والذي ينبئ بتنامي هذا القطاع في العديد من الدول العربية، في مقدمتها مصر والمملكة العربية السعودية والإمارات بنسب تتراوح ما بين 20 و30 في المئة، تظهر الحاجة إلى توفير أنظمة أمن معلومات عربية، خاصة بالنسبة للمؤسسات الاستراتيجية الحساسة، وإلى أهمية الاستثمار في هذا المجال: مكافحة البرمجيات الماكرة وأمن المعلومات.

وكشفت دراسة لمعهد أمن المعلومات في الولايات المتحدة الأمريكية، أجريت على عينة عشوائية من 500 مستخدم ضمن مهن تعتمد على أجهزة الكمبيوتر في مؤسسات مالية وحكومية وطبية، تسجيل 85 في المئة من المشاركين في الدراسة لثغرات أمنية في أنظمتهم خلال فترة 12 شهراً على الأكثر. وقدم 35 في المئة منهم تقارير بالخسائر المالية التي تعرضوا لها جراء هجمات فيروسية وصلت إلى 378 مليون دولار، يتضمن ذلك تلف الأجزاء الصلبة وأنظمة التشغيل والبرامج وفقدان معلومات مهمة، وتعطل فترة العمل على الجهاز وتكلفة خبير تقنية المعلومات المشرف على معالجة الحالة. كما أظهرت نفس الدراسة أن وجود برنامج حماية، لاسيما حماية الرسائل الإلكترونية، يمكن أن يوفر ما يصل إلى 25 ألف دولار من الخسائر في كل مرة يصاب فيها جهاز واحد لهذه الشركات.
وبين تقرير لمكتب التحقيق الفيدرالي في الولايات المتحدة أن الخسائر التي تكبدتها الولايات المتحدة خلال العام 2005م جراء جرائم الكمبيوتر، والتي تضم الهجمات الفيروسية وبرامج التجسس والسرقات المعلوماتية، وصلت إلى 67.2 مليار دولار.
وحمل التقرير لأصحاب الأعمال التجارية ومستخدمي الكمبيوتر على صعيد العالم أخباراً سارة، فعلى الرغم من أن الهجمات الفيروسية خلال العام 2005م أدت إلى خسائر مالية حول العالم تم تقديرها بـ14.2 مليار دولار، فإن ذلك يمثل انخفاضاً بنسبة 18 في المئة عن خسائر العام الذي سبقه.

التهديد الأكبر

كما أوضح تقرير للغرفة البريطانية للتجارة والصناعة مؤخراً، أن فيروسات الكمبيوتر تشكل التهديد الأكبر على الأعمال التجارية في بريطانيا. في الوقت الذي أظهر فيه التقرير أن عدد الشركات المصابة بالفيروسات قد تراجع بمقدار الثلث تقريباً منذ آخر دراسة أجريت في عام 2004م. ويكمن السر وراء ذلك في استخدام الشركات لبرامج مكافحة الفيروسات ومعالجة الثغرات الأمنية التي تعاني منها بعض الأنظمة.
ورغم دخول تكنولوجيا المعلومات متأخرة إلى المنطقة العربية، إلا أن مثل هذه الهجمات أدت إلى خسائر بلغت نحو 600 مليون دولار خلال العام 2002م، تم التكتم عليها بشدة من قبل الشركات والبنوك المصابة.
وتتيح برامج مكافحة الفيروسات التي بدأ ظهورها في أوائل الثمانينات، فحص وجود فيروسات في ذاكرة الكمبيوتر أو في قطاع التشغيل. كما تطورت هذه البرامج لاحقاً لتصبح قادرة على فحص رسائل البريد الإلكتروني للتأكد من سلامتها. وتتضمن آلية عمل برامج المكافحة، مقارنة محتويات الملفات التنفيذية وفحص وجود توقيع لأحد الفيروسات المعروفة ضمن محتويات الملف، ولكنها تبقى ضعيفة في مواجهة أي هجوم فيروسي جديد غير معرف مسبقاً.

ومن هنا فلم يعد مجدياً التحدث عن أول ظهور للفيروسات وأول من قام بكتابتها، لأنها بذلك تندرج تحت قائمة الجرائم العلمية التي يتم التخطيط لها وطرحها من خلال الروايات والأفلام السينمائية لقياس ردود الأفعال تجاهها، وإجراء دراسات جدوى لمعرفة الربح الناتج عن توفير حلول لهذه الجرائم، كل ذلك قبل أول ظهور علني لها. يتساوى في ذلك فيروس الكمبيوتر وعمليات استنساخ البشر.
وتمثل الفيروسات أحد أنواع البرمجيات الماكرة، وهي جميع البرامج التي تتسلل إلى نظام الكمبيوتر بدون معرفة ورضا مالكه، ويكون من الصعب جداً إزالتها بدون خسائر. وتشمل البرمجيات الماكرة إضافة إلى الفيروسات، ديدان الإنترنت وبرامج التجسس.
وتختلف الديدان عن الفيروسات في أنها برامج قائمة بذاتها لا تعتمد على برامج أخرى في أداء عملها، وهي سريعة الانتشار ويصعب التخلص منها نظراً لقدرتها الفائقة على التلون والتناسخ والمراوغة. وتصيب الدودة الجهاز الموصل بشبكة الإنترنت بشكل أوتوماتيكي ومن غير تدخل بشري، الأمر الذي يجعلها أوسع انتشاراً، ولا تقوم الدودة بحذف أو تغيير الملفات، بل تقوم باستهلاك موارد الجهاز واستخدام الذاكرة بشكل كبير، ينتج عنه بطء شديد في أداء الجهاز. وتكمن خطورة الديدان باستقلاليتها وعدم اعتمادها على برامج أخرى مما يعطيها حرية كاملة في الانتشار السريع، حتى باتت كابوساً مرعباً يلازم كل مستخدم للشبكة.

شهد النصف الأول من عام 2002 فترة هدوء مريب لخبراء الكمبيوتر الذين يراقبون الديدان والفيروسات التي تسببت بخسائر بملايين الدولارات لشركات الكمبيوتر, وهو ما دعا البعض للتفاخر بفعالية الإجراءات التي اتخذت في مواجهتها رغم اتضاح المبالغة في توقع تفاقم تلك المشكلة.

وليس لدى أحد تفسير قاطع للظاهرة. لكن النظريات تتنوع من استخدام برامج متقدمة لمكافحة الفيروسات إلى فرض قوانين أكثر صرامة ضد القراصنة والمتطفلين على أجهزة الكمبيوتر أو توخى المستخدمين قدرا أكبر من الحذر. وفي العام الماضي قدر خبراء تأمين الإنترنت أن ديدان كود رد ونيمدا وسيكرام تسببت في خسائر بمليارات الدولارات وأدت لتوقف شبكات الكمبيوتر عدة أيام مما أجبر الشركات على اتخاذ إجراءات وقائية لمنع تكرار الهجمات.

من ناحية أخرى سلطت هذه الهجمات الأضواء على الشركات المسؤولة عن مكافحتها والتي دعت بدورها الشركات لتحصين شبكات الكمبيوتر الخاصة بها ضد الغزاة غير المرئيين وإلا فقدت وقتا وموارد ثمينة نتيجة تعطل شبكاتها أو فقد بعض الملفات.

وقال خبراء مكافحة الفيروسات إن المشكلة ستتفاقم في عام 2002 بالنسبة للشركات التي لم تستعد لمواجهة الوضع إلا إنه لم يحدث ما يثير الفزع باستثناء تكرار ظهور الدودة كليز في البريد الإليكتروني في وقت سابق من هذا الصيف.

وقال ميكو هيبونين مدير أبحاث مكافحة الفيروسات في إف سيكيور الفنلندية إن "كليز هي أكبر مشاكل هذا العام. إنها مفاجأة كبيرة لنا وللجميع في مجال مكافحة الفيروسات". وفي العام الماضي حذر هيبونين من إن الفيروسات ستمتد لأجهزة الكمبيوتر المحمولة بما في ذلك كمبيوتر الجيب وما يسمي بالتليفونات الذكية وهو ما لم يحدث. وفي عام 2001 أصدرت إف سيكيور تسعة تحذيرات من فيروسات تحسبا لغزو مدمر. غير أن هيبونين قال إن الشركة لم تصدر أي تحذير هذا العام.

وتوصلت شركات أخرى تكافح فيروسات من نوع آخر لنفس النتائج. وقال غراهام كلولي أحد كبار المستشارين الفنيين في سوفوس أنتي فيرس في بريطانيا إن شركته رصدت ما بين 600

و700 نوع جديد من الفيروسات كل شهر وهو نصف الرقم تقريبا مقارنة بالعام الماضي. وأوردت شركة سنترال كوماند في أوهايو في الولايات المتحدة أن هناك انخفاضا في عدد الفيروسات في يوليو/ تموز الماضي مقارنة بالشهر السابق. وتقول شركات أخرى إن عدد الفيروسات الموجودة ثابت مقارنة بالعام الماضي إلا أن نسبة الإصابة بها تراجعت مما يثبت فعالية الإجراءات الوقائية وبرامج الكمبيوتر الجديدة لمكافحة الفيروسات.

ولفت هذا الهدوء في عمليات التطفل والقرصنة وكتابة برامج الفيروسات أنظار مسؤولي الأمن الحكوميين الأميركيين. وصرح ماركوس ساكس المتحدث باسم لجنة تأمين الإنترنت الأميركية في مؤتمر قراصنة الإنترنت في لاس فيغاس في الأسبوع الماضي أنه تطور مشجع ولكنه محير. وتساءل المتحدث باسم اللجنة التي شكلت قبل عشرة أشهر "هل نشهد تغييرا في تفكير المتطفلين.. أم شعورا وطنيا.. أم أننا أحسنا التعريف بالمخاطر وحماية الأنظمة". وأضاف أنه على أية حال "تراجع عما رأيناه في العام الماضي".

ويمكن أن تساعد عدة تفسيرات في توضيح أسباب تراجع هذا الاتجاه إذ إن الشركات اتخذت خطوات إضافية لتحصين شبكاتها وهو تطور يصفه العاملون في مجال مكافحة الفيروسات بأنه نصر كبير إلا أنه حد من حرية استخدام العاملين للبريد الإلكتروني. كما أظهرت النسخ الأحدث من برامج مكافحة الفيروسات فعالية بشكل خاص في مواجهة الفيروسات والديدان العشوائية التي تستخدم شفرة شائعة يستغلها معدو برامج الفيروسات من صغار السن. وعزا البعض تراجع جرائم الإنترنت لقوانين جديدة أيضا تفرض عقوبات صارمة تراوح بين السجن عشرة أعوام والسجن مدى الحياة على مرتكبي جرائم التطفل وكتابة برامج الفيروسات.

لكن تراجع الفيروسات حتى إذا لم يستمر طويلا يأتي في أوقات صعبة لقطاع تأمين شبكات الكمبيوتر الوليد إذ ظهر عدد من الشركات للاستفادة من الطلب على خدمات تأمين الشبكات في السنوات القليلة الماضية. وقال هيبونين "التراجع في ظهور الفيروسات ليس لصالح صناعة مكافحة الفيروسات بصفة عامة. ولكن أود أن أراه يحدث إذ يوفر لنا موارد لنقوم بعمل غير مكافحة مشكلة لم يكن ينبغي لها أن تحدث من البداية". لكن آخرين مقتنعون أن من السابق لأوانه إعلان النصر وتحديد الجانب الفائز أو الخاسر.

وحذر أورس جاتيكر المدير العلمي للمعهد الأوربي لأبحاث مكافحة فيروسات الكمبيوتر من "أنه الهدوء الذي يسبق العاصفة. ستكون هناك جولة أخرى. المشكلة أنه سيحدث تراخ إذا انتظرنا لفترة طويلة ولن نتمكن من التصدي لها".

لا شيء بإمكانه أن يضمن أمان الكمبيوتر بنسبة 100 بالمائة. مع ذلك، بإمكانك متابعة تحسين أمان الكمبيوتر الخاص بك إذا حافظت على تحديث البرامج واستمريت في الاشتراك ببرنامج لمكافحة الفيروسات.

لمعرفة المزيد حول ما يمكنك القيام به، عليك زيارة هذه الصفحات:

• معرفة الحوادث الأخيرة المتعلقة بالأمان وتهديدات الفيروسات

• معرفة الأسباب التي من أجلها تحتاج إلى جدار حماية للكمبيوتر

• معرفة كيف بإمكان Windows Update مساعدتك

• حماية الكمبيوتر الشخصي في 3 خطوات.

نجح مبدأ فيروس الماكرو، لأن لغات البرمجة أمنت إمكانية الوصول إلى الذاكرة والأقراص الصلبة. وهذا ما أمنته التقنيات الحديثة أيضاً، بما فيها عناصر تحكم ActiveX، وبريمجات جافا (Java applets). صحيح أن هذه التقنيات صُممت مع ضمان حماية القرص الصلب من برامج الفيروسات (تعد جافا أفضل من ActiveX في هذا المجال)، لكن الحقيقة أن هذه البرامج تستطيع تركيب نفسها على جهازك بمجرد زيارتك لموقع ويب. ومن الواضح أن أجهزتنا ستكون أكثر عرضة لمخاطر الفيروسات والبرمجيات الماكرة الأخرى، مع ازدياد تشبيك الكمبيوترات ببعضها، وبشبكة إنترنت، خصوصاً مع المزايا التي تعدنا بها إنترنت لإجراء ترقية نظم التشغيل عبرها (يؤمن نظاما ويندوز98 وويندوز2000 هذه الإمكانيات).

إن أقل ما يوصف به مطورو الفيروسات، هو مهارتهم وقدرتهم الفذة على الابتكار، فهم يخرجون إلينا دائماً بطرق جديدة لخداع برامج مكافحة الفيروسات. فمثلاً، تضلل الفيروسات المتسللة (stealth viruses) الجديدة، برامج مكافحة الفيروسات، بإيهامها أن الأمور تسير على ما يرام، ولا يوجد أي مؤشر على وجود فيروس. كيف؟

يعتمد مبدأ عمل الفيروس المتسلل، على الاحتفاظ بمعلومات عن الملفات التي لوثها، ثم الانتظار في الذاكرة، ومقاطعة عمل برامج مكافحة الفيروسات خلال بحثها عن الملفات المعدلة، وإعطائها المعلومات القديمة التي يحتفظ بها عن هذه الملفات، بدلاً من السماح لها بالحصول على المعلومات الحقيقية من نظام التشغيل!

أما الفيروسات متغيرة الشكل (polymorphic viruses)، فتعدل نفسها أثناء إعادة الإنتاج، مما يجعل من الصعب على برامج مكافحة الفيروسات التي تبحث عن نماذج معينة من مثل هذا الفيروس، اكتشاف كافة أشكاله الموجودة، وبالتالي تستطيع الفيروسات الناجية، الاستمرار وإعادة إنتاج أشكال جديدة.

تظهر أنواع جديدة من الفيروسات إلى حيز الوجود بشكل دائم، مع استمرار لعبة القط والفأر بين مطوري الفيروسات ومنتجي برامج مكافحتها. وأغلب الظن أن الفيروسات ظهرت لتبقى، إلى ما شاء الله.

الخطوة الأولى في مكافحة فيروسات الكمبيوتر، هي فهم أنواعها وآليات عملها

تتضمن معظم الكمبيوترات الشخصية المباعة حديثاً برامج لمكافحة الفيروسات، وهذه الحقيقة، أكثر من أي شيء آخر، تدلنا على مدى انتشار الفيروسات، ومدى قبول صناعة الكمبيوتر بها، كقدر لا مفر منه! لقد أصبحت الفيروسات أمراً واقعاً في عالم الكمبيوتر اليوم.

يوجد حالياً الآلاف من فيروسات الكمبيوتر، ويمكن تصنيفها إلى عدة فئات، لكنها جميعاً، على العموم، تخضع لتعريف مشترك بسيط: الفيروس هو برنامج كمبيوتر مصمم عمداً ليقترن ببرنامج آخر، بحيث يعمل الفيروس عندما يعمل ذلك البرنامج، ومن ثمَّ يعيد إنتاج نفسه باقترانه ببرامج أخرى. ويقترن الفيروس بالبرنامج الأصلي بإلصاق نفسه به، أو باستبداله أحياناً، وقد يغير الفيروس نفسه عند إعادة الإنتاج، فيظهر كنسخة معدلة عن النسخة التي قبلها، كلما كرر العملية. ويمكن أن تتلوث برامج الماكرو بالفيروس، أو قطاع الإقلاع (boot sector) على القرص، وهو أول برنامج يتم تحميله من قرص يحمل ملفات إقلاع نظام التشغيل.

لاحظ عبارة "مصمم عمداً" في التعريف، فالفيروسات لا تظهر صدفة، بل يكتبها مبرمجون ذوو مهارات عالية عادة، ثم يجدون طريقة لنشرها في أجهزة المستخدمين الغافلين عنها. وكلما أصبحت برامج مكافحة الفيروسات أقوى، زاد المبرمجون من جهودهم لتطوير فيروسات أذكى، للتحايل عليها. والهدف من تطوير الفيروسات، بالنسبة للكثير من مؤلفيها، ليس أكثر من تحد، والرغبة في إثبات تفوقهم، بينما هو للبعض الآخر التلذذ بإثارة حيرة الآخرين وشكوكهم في الكمبيوتر، أو إزعاجهم، وحتى إيذائهم! وهذا أمر سيئ جداً، إذ يمكنهم أن يجنوا أموالاً طائلة، إذا وجهوا مواهبهم لمساعدة الشركات على حل مشكلة العام 2000، بدلاً من هدرها في أعمال لا طائل منها، مثل تطوير الفيروسات.

اشتهرت فيروسات الكمبيوتر بقدرتها على الأذى وإحداث الأضرار، لكن في الحقيقة، فإن الكثير منها غير مؤذ. صحيح أن بعضها يحذف الملفات، أو يقوم بأعمال تخريبية أخرى، لكن معظمها يسبب إزعاجاً بسيطاً فقط، وبعضها لا يلحظه المستخدم العادي أبداً. ويكفي أن يتمكن البرنامج من إعادة إنتاج نفسه حتى يعتبر فيروساً، بغض النظر عن الأعمال التي ينفذها.

لكن، في الحقيقة، حتى الفيروسات غير المؤذية، تسبب بعض الأذى! فهي تستهلك مساحات تخزين على القرص، وجزءاً من ذاكرة الكمبيوتر، وتشغل جزءاً من طاقة المعالج، وبالتالي فهي تؤثر على سرعة وكفاءة الجهاز. أضف إلى ذلك، أن برامج كشف الفيروسات وإزالتها، تستهلك أيضاً موارد الجهاز. ويرى الكثير من المستخدمين، أن برامج مكافحة الفيروسات تبطئ عمل الجهاز بشكل ملحوظ، وهي أكثر تطفلاً عليه من الفيروسات ذاتها! وبعبارة أخرى، تؤثر الفيروسات في عالم الكمبيوتر، حتى إذا لم تكن تفعل شيئاً.

الفيروسات وأشباه الفيروسات

إن الشرح المذكور في الفقرة السابقة عن الفيروس، أكثر تحديداً من الطريقة التي نستخدم فيها كلمة "فيروس" في الواقع. وتوجد أنواع أخرى من البرامج، ينطبق عليها تعريف الفيروس جزئياً. تشترك هذه الأنواع مع الفيروسات في أنها تعمل بدون علم المستخدم، وتقوم بأعمال ضمن الكمبيوتر، مصممة عمداً لتنفيذها. ومن هذه الأنواع: الديدان (worms)، وأحصنة طروادة (Trojan horses)، وبرامج الإنزال (droppers). وتعتبر كل هذه البرامج، بما فيها الفيروسات، جزءاً من فئة أكبر تدعى البرامج الماكرة (malware)، وهي مشتقة من عبارة malicious-logic software.

والدودة برنامج يعيد إنتاج نفسه، لكنها لا تلوث برامج أخرى. تنسخ الدودة نفسها من وإلى الأقراص المرنة، أو عبر الشبكات، ويعتمد بعضها على الشبكة في إنجاز عملها. تستخدم إحدى أنواع الديدان -وهي الدودة المضيفة (host worm)- الشبكة لنسخ نفسها، فقط، إلى أجهزة الكمبيوتر المتصلة بالشبكة. بينما توزع الدودة الشبكية (network worm) أجزاءها على عدة كمبيوترات، وتعتمد على الشبكة فيما بعد لتشغيل هذه الأجزاء. ويمكن أن تظهر الديدان على كمبيوترات منفصلة، فتنسخ نفسها إلى أماكن متعددة على القرص الصلب.

وسمي النوع الثاني من البرمجيات الماكرة "حصان طروادة"، نسبة للأسطورة الإغريقية الواردة في ملحمة الأوديسا لهوميروس، حيث ترك الجيش الإغريقي حصاناً خشبياً ضخماً، كهدية لسكان طروادة، وكان يختبئ ضمنه مجموعة من الجنود الأشداء، بعد أن تظاهروا بإنهاء الحصار الطويل، وعندما رحل الجيش وأدخل السكان الحصان إلى داخل أسوار المدينة، خرج الجند منه وانقضوا على الحامية، وسقطت المدينة في أيدي الإغريق. وتعتمد برامج أحصنة طروادة على المبدأ ذاته، فهي تختبئ ضمن برامج يبدو مظهرها بريئاً، وعندما يشغّل المستخدم واحداً من هذه البرامج، ينشط الجزء الماكر ويقوم بعمل معين مصمم له. وتختلف أحصنة طروادة عن الفيروسات العادية، في أنها لا تعيد إنتاج نفسها.

وصممت برامج الإنزال (droppers) لمراوغة برامج مكافحة الفيروسات، وتعتمد على التشفير غالباً لمنع اكتشافها. ووظيفة هذه البرامج عادة، نقل وتركيب الفيروسات، فهي تنتظر لحظة حدوث أمر معين على الكمبيوتر، لكي تنطلق وتلوثه بالفيروس المحمول في طياتها.

وينتمي مفهوم قنبلة (bomb) الكمبيوتر إلى هذه الفئة، إذ تبنى القنابل ضمن البرمجيات الماكرة كواسطة لتنشيطها. وتبرمج القنابل لتنشط عند حدوث حدث معين. تنشط بعض القنابل في وقت محدد، اعتماداً على ساعة الكمبيوتر. فيمكن برمجة قنبلة مثلاً، لمسح كافة الملفات ذات الامتداد .DOC من قرصك الصلب، عشية رأس السنة الميلادية، أو لعرض رسالة على الشاشة، في اليوم المصادف لعيد ميلاد شخصية مشهورة. وتعمل بعض القنابل تحت شروط أو أحداث أخرى، فيمكن أن تنتظر القنبلة إلى أن يتم تشغيل برنامج معين، عشرين مرة مثلاً، وعندها تمسح ملفات القوالب (templates) الخاصة بهذا البرنامج. ومن وجهة النظر هذه، تعتبر القنابل مجرد برامج جدولة زمنية ماكرة.

ويمكننا النظر إلى الفيروسات كحالات خاصة من البرمجيات الماكرة، إذ يمكن للفيروسات الانتشار بواسطة برامج الإنزال (ولا يشترط ذلك)، وهي تستخدم مفهوم برامج الديدان لإعادة إنتاج نفسها. ولا تعتبر الفيروسات مماثلة لأحصنة طروادة من الناحية التقنية، إلا أنها تشابهها في نقطتين: فهي تنفذ أعمالاً لا يريدها المستخدم، وتحول البرنامج الذي تلتصق به إلى حصان طروادة عملياً (تختبئ داخله، وتعمل عندما يعمل البرنامج، وتنفذ أعمالاً غير مرغوبة).

كيف يعمل الفيروس؟

تعمل الفيروسات بطرق مختلفة، وسنعرض فيما يلي للطريقة العامة التي تنتهجها كافة الفيروسات. في البداية يظهر الكمبيوتر على جهازك، ويكون قد دخل إليه مختبئاً في ملف برنامج ملوث (مثل ملفات COM أو EXE أو قطاع الإقلاع). وكانت الفيروسات في الماضي تنتشر بشكل أساسي عن طريق توزيع أقراص مرنة ملوثة. أما اليوم، فمعظمها يأتي مع البرامج المنقولة عبر الشبكات (ومن بينها إنترنت)، كجزء من برنامج تركيب نسخة تجريبية من تطبيق معين، أو ماكرو لأحد التطبيقات الشهيرة، أو كملف مرفق (attachment) برسالة بريد إلكتروني.

ويجدر التنويه إلى أن رسالة البريد الإلكتروني نفسها لا يمكن أن تكون فيروساً، فالفيروس برنامج، ويجب تشغيله لكي يصبح نشطاً. إذاً الفيروس المرفق برسالة بريد إلكتروني، لا حول له ولا قوة، إلى أن تشغّله. ويتم تشغيل فيروسات المرفقات عادة، بالنقر عليها نقرة مزدوجة بالماوس. ويمكنك حماية جهازك من هذه الفيروسات، بالامتناع عن تشغيل أي ملف مرفق برسالة بريد إلكتروني، إذا كان امتداده COM أو EXE، أو إذا كان أحد ملفات بيانات التطبيقات التي تدعم الماكرو، مثل برامج أوفيس، إلى ما بعد فحصه والتأكد من خلوه من الفيروسات. أما ملفات الرسوميات والصوت، وأنواع ملفات البيانات الأخرى القادمة كمرفقات، فهي آمنة، ولا يمكن للفيروس أن ينشط من خلالها، ولذلك فهو لا يهاجمها.

إذاً يبدأ الفيروس دورة حياته على الجهاز بشكل مشابه لبرنامج حصان طروادة، فهو يختبئ في ثنايا برنامج أو ملف آخر، وينشط معه. في الملفات التنفيذية الملوثة، يكون الفيروس قد أضاف شيفرته إلى البرنامج الأصلي، وعدل تعليماته بحيث ينتقل التنفيذ إلى شيفرة الفيروس. وعند تشغيل الملف التنفيذي المصاب، يقفز البرنامج عادة إلى تعليمات الفيروس، فينفذها، ثم يعود ثانية لتنفيذ تعليمات البرنامج الأصلي. وعند هذه النقطة يكون الفيروس ناشطاً، وجهازك أصبح ملوثاً.

وقد ينفذ الفيروس مهمته فور تنشيطه (ويطلق عليه فيروس العمل المباشر direct-action)، أو يقبع منتظراً في الذاكرة، باستخدام وظيفة "الإنهاء والبقاء في الذاكرة" (terminate and stay resident, TSR)، التي تؤمنها نظم التشغيل عادة. وتنتمي غالبية الفيروسات لهذه الفئة، ويطلق عليها الفيروسات "المقيمة". ونظراً للإمكانيات الكبيرة المتاحة للبرامج المقيمة في الذاكرة، بدءاً من تشغيل التطبيقات والنسخ الاحتياطي للملفات إلى مراقبة ضغطات لوحة المفاتيح ونقرات الماوس (والكثير من الأعمال الأخرى)، فيمكن برمجة الفيروس المقيم، لتنفيذ أي عمل يمكن أن يقوم به نظام التشغيل، تقريباً. يمكن تشغيل الفيروس المقيم كقنبلة، فيبدأ مهمته على جهازك عند حدث معين. ومن الأمور التي تستطيع الفيروسات المقيمة عملها، مسح (scan) قرصك الصلب وأقراص الشبكة بحثاً عن الملفات التنفيذية، ثم نسخ نفسها إلى هذه الملفات وتلويثها.

تأخذ الفيروسات أشكالا عديدة فقد تشبه الدودة في توالدها وتكاثرها , وقد يتم إدخالها الى النظام لتحدث التخريب المطلوب في توقيت معين أو عند حدوث واقعة معينة. وفيما يلي بعض أشكال الفيروسات :
حصان طراودة:(esroH najorT)
هو جزء صغير من الكود يضاف الى البرمجيات ولا يخدم الوظائف العادية التي صممت من أجلها هذه البرمجيات ولكنه يؤدي عملا تخريبيا للنظام , وتكمن خطورته في أن النظام لا يشعر بوجوده حتى تحين اللحظة المحددة له ليؤدي دوره التخريبي.
القنابل المنطقية
(sbmoB cigoL) القنبلة المنطقية هي أحد أنواع حصان طراودة وتصمم بحيث تعمل عند حدوث ظروف معينة أو لدى تنفيذ أمر معين, فقد تصمم بحيث تعمل عند بلوغ عدد الموظفين في الشركة عددا معينا من الموظفين مثلا أو إذا تم رفع إسم المخرب (واضع القنبلة) من كشوف الراتب, وتؤدي القنبلة في هذه الحالة الى تخريب بعض النظم او الى مسح بعض البيانات أو تعطيل النظام عن العمل.
القنابل الموقوتة
(sbmoB emiT) القنبلة الموقوته هي نوع خاص من القنابل المنطقية وهي تعمل في ساعة محددة أو في يوم معين كأن تحدث مثلا عندما يوافق اليوم الثالث عشر من الشهر يوم الجمعة.
باب المصيدة(roodparT)
هذا الكود يوضع عمدا بحيث يتم- لدى حدوث ظرف معين - تجاوز نظم الحماية والأمن في النظام . ويتم زرع هذا الكود عند تركيب النظام بحيث يعطي المخرب حرية تحديد الوقت الذي يشاء لتخريب النظام فهو يظل كامننا غير مؤذ حتى يقرر المخرب استخدامه , وكمثال على ذلك إقحام كود في في نظام الحماية والأمن يتعرف على شخصية المخرب ويفتح له الابواب دون إجراء الفحوص المعتادة.
الديدان(smroW)
الدودة هي عبارة عن كود يسبب أذى للنظام عند استدعائه, وتتميز الدودة بقدرتها على إعادة توليد نفسها , بمعنى أن أي ملف أو جهاز متصل بالشبكة تصل إليه الدودة يتلوث , وتنتقل هذه الدودة إلى ملف آخر أو جهاز آخر في الشبكة وهكذا تنتشر الدودة وتتوالد.
كيفية عمل الفيروسات
يقوم من أنشأ أو برمج الفيروس ببرمجة الفيروس ( توجيه الأوامر له) حيث يقوم بتحديد الزمان ومتى يبدأ الفيروس بالنشاط , وعادة ماتعطى فرصة كافية من الوقت حتى يضمن حرية الانتشار دون أن يلفت الانتباه ليتمكن من إصابة أكبر عدد ممكن من الملفات في النظام, تختلف الفيروسات من حيث بدأ المستخدمين والنشاط, فهنالك من يبدأ بتاريخ أو وقت محدد , وهنالك من يبدأالعمل بنشاط بعد تنفيذ آمر معين في البرنامج بالانتشار بعد التكاثر المصاب وهناك بعض من الفيروسات يبدأ بالوصول الى رقم معين من النسخ ثم يقوم بدوره التخريبي.
يقوم الفيروس بعدة أنشطة تخريبية حسب الغرض من إنشاء ذلك الفيروس فهناك ما يقوم بعرض رسالة تحذيرية عن امتلاء الذاكرة أو رسالة تستخف بالمستخدم وهناك أنواع أخرى تقوم بحذف أو تعديل بعض ملفات جهازك وهناك من يقوم بتكرار ونسخ نفسه حتى يشل تماما وهناك أنواع أشد فتكا فتقوم بمسح كل المعلومات من قرصك الصلب .
طرق الوقاية من الفيروسات
هناك عدة إجراءات وقائية يعفي تطبيقها المؤسسة من كثير من العواقب الوخيمة التي قد تترتب على الإصابة بالفيروسات مثل:
1- تجهيز عدة نسخ من البرمجيات وحفظها بحيث يمكن استرجاع نسخة نظيفة (غير ملوثة بالفيروس) من البرنامج عند الحاجة.
2- الاحتفاظ بسجل لكل عمليات التعديل في برامج التطبيقات بحيث يتم تسجيل جميع وقائع نقل البرامج المعدلة إلى البيئة الإنتاجية , وبخاصة تلك البرامج المجلوبة من خارج المؤسسة.
3- يجب توعية المستخدمين بعدم تحميل أي برنامج مجلوب من الخارج في حاسباتهم الشخصية, فهذا هو أوسع الأبواب لإدخال الفيروسات إلى النظم والتي عند دخولها ربما تصيب جميع الأقراص وجميع الأجهزة بالشبكة.
والبرامج المجانية التي تنتقل من يد إلى يد أو يتم توزيعها بواسطة مجلات الكمبيوتر المتخصصة يجب دائما الحذر في التعامل معها. حتى تلك البرامج التي تأتي من مصادر لا يرقى إليها الشك يجب فحصها جيدا.
4- عند فحص البرمجيات أو اختبارها قبل السماح بنشرها في المؤسسة للاستخدام العام , يجب ان يتم ذلك على جهاز مستقل غير مرتبط بالشبكة . ويجب أن يتضمن الاختبار البحث عن أي سلوك غير مفهوم في البرنامج كأن يخرج رسائل لا داعي لها على الشاشة مثلا , ولو أن خلو البرنامج من مثل هذا السلوك غير المفهوم لا يعني بالضرورة نظافة البرنامج فالفيروسات تظل كامنة ولا تكشف عن سلوكها إلا في اللحظة المناسبة.
5- تركيب برنامج للتحقق من وجود فيروسات ويفضل ان يكون هذا البرنامج دائم الوجود في الذاكرة , وهذه البرامج تقوم بالتأكد من عدم وجود الفيروسات المعروفة لها, ولذلك فهي تكون عديمة الفائدة في مواجهة الفيروسات الجديدة, وبعض هذه البرامج يقوم بمقارنة محتويات بعض مناطق القرص (الصلب او اللين) أو بعض مناطق الذاكرة بمحتوياتها المتوقعة والمفترض أن توجد بها والإبلاغ عن أي تغيير فيها مما قد ينبئ عن وجود فيروس.
6- ويجب عدم إجازة البرامج للاستخدام العام في المؤسسة إلا بعد اجتيازها بنجاح هذه الاختبارات.

وكما أن العلم والبحث العلمي يكرم صاحبه فإن صناعة تلك الفيروسات وإطلاقها بأساليب مختلفة ومسميات غريبة لإلحاق الضرر بمستخدمي أجهزة الحاسب قد أضر بسمعة هذه الفئة من الباحثين وراء الشهرة الإجرامية، وبات الأمر من الضرورة القصوى أن يعمل الباحثون بجد وفاعلية لإيجاد طرق حماية فعالة بوجه الحضارة المشرق، حضارة العصر "الكمبيوتر". بعد أن أصبح الكثير من برامج الحماية العادية والمنتشرة من الـAnti-Virus لا تُجدي مع ذلك التحدي الخطر والغزو المدمر لأجهزة الحاسب وأنظمتها المختلفة داخل مكاتبنا بل بيوتنا وحجراتنا الخاصة.!!!

وحتى يتم ذلك ننصح بالآتي:

·التزود بأحدث برامج مكافحة الفيروسات

·عدم فتح أي رسالة في البريد الإلكتروني الخاص إلا بعد التأكد من مصدرها

·توخِّي الحذر من استخدام الأقراص الغريبة الملوثة

·عدم حفظ أشياء من شبكة الإنترنت بغير ضرورة

·عمل نسخ احتياطية بديلة للملفات المهمة على أقراص خارجية لاستخدامها عند الضرورة

محاولة تغيير التاريخ في أجهزة الحاسب العاملة على شبكة الإنترنت في الليلة السابقة ليوم 26 يونيو لاحتمال نشاط فيروس تشيرنوبيل في ذلك التاريخ.!!!

كل من أصابه الضرر عليه عمل مسح شامل لجهازه، ثم إعادة تنصيب برامجه بشكل جديد ونظيف.

ومن التطبيقات المهمة لقوانين عصر المعلومات في مجال فيروس الحاسب، ما جرى مؤخرًا من محاكمة البريطاني العاطل عن العمل (كريستوفر بابل) في بريطانيا بعد أن ثبتت عليه تهمة قيامه بتطوير فيروس الحاسب الآلي (كويج- Kuig) و(باتوجين Batogine) بالإضافة إلى قيامه بإصدار دليل عملي يساعد المبرمجين على تطوير فيروسات خاصة بهم، وقد حوكم (بابل) بالاستناد إلى قانون إساءة استعمال الحاسب الآلي الصادر سنة 1990. وهذه هي المرة الأولى التي يطبق فيها القانون ضد مطوري الفيروسات؛ حيث إن الأحكام القانونية السابقة كانت تتعلق بجرائم القرصنة الإلكترونية فقط.

وإن كانت الكثير من الدول المتقدمة قد حذت حذو بريطانيا في مجال إصدار القوانين المحتوية على رصد العقوبات الرادعة لمرتكبي جرائم فيروس الحاسب فإن الكثير من قوانين بلدان العالم الأخرى ما زالت مفتقرة إلى مثل هذه القوانين، وهو ما يشكل ثغرة كبرى في قوانينها العقابية.

- الفيروسات :
مقدّمة للفيروسات، وأسباب تسميتها بهذا الاسم، بالإضافة إلى نبذة تاريخية عنها.
يمثل الفيروس أحد الأشياء الغامضة التي تسبب الحيرة والارتباك. وتتفاوت درجة رد الفعل حسب المستوى التقني ومدى الخبرة للفرد. والاختلاف يرجع إلى تناقض فكرة وجود الفيروس..فالأطباء يعتبرون الفيروس كائن حي يعيش ويتكاثر في وسط مساعد كالجسم البشري أي أنه وسط بيولوجي وبين الكميبوتر ككيان مادي. وهناك من يستبعد الفكرة تماماً، وهنالك من لا يعطي الموضوع حقه من الاهتمام.

- نبذة تاريخية:
بدأ ظهور أول فيروس سنة 1978م أو قبلها بقليل (بحيث يصعب تحديد البداية بدقة) ولم تأخذ المشكلة شكلها الحالي من الخطورة إلاّ مع انتشار استخدام شبكة الانترنت ووسائل الاتصالات المعقدة، منها: البريد الإلكتروني.
حيث أمكن ما لم يكن ممكناً من قبل من ناحية مدى انتشار الفيروس ومدى سرعة انتشاره.

- لماذا سمي الفيروس بهذا الاسم؟
تطلق كلمة فيروس على الكائنات الدقيقة التي تنقل الأمراض للإنسان وتنتشر بسرعة مرعبة. وبمجرد دخولها إلى جسم الإنسان تتكاثر وتفرز سمومها حتى تسبب دمار الأجهزة العضوية للجسم ومنها ما هو قاتل يسبب الموت.
والفيروس عندما يدخل إلى الكمبيوتر يعمل نفس التأثيرات ونفس الأفعال، وله نفس قدرة التكاثر وربط نفسه بالبرامج حتى يسبب دمار الكمبيوتر دماراً شاملاً.

وهناك بعض أوجه الشبه بين الفيروس الحيوي والفيروس الإلكتروني منها:
1- يقوم الفيروس العضوي بتغيير خصائص ووظائف بعض خلايا الجسم .. وكذلك الفيروس الالكتروني يقوم بتغيير خصائص ووظائف البرامج والملفات.

2- يتكاثر الفيروس العضوي ويقوم بإنتاج فيروسات جديدة .. كذلك الفيروس الإلكتروني يقوم بإعادة إنشاء نفسه منتجاً كميات جديدة.

3- الخلية التي تصاب بالفيروس لا تصاب به مره أخرى (سنحتاج هذه المعلومة لاحقا) أي يتكون لديها مناعة .. وكذلك الحال مع الفيروس الإلكتروني حيث أنه يختبر البرامج المطلوب إصابتها فإن كانت أصيبت من قبل لا يرجع إليها بل ينتقل إلى برامج أخرى وملفات جديدة.

4- الجسم المصاب بالفيروس قد يظل مدة بدون ظهور أي أعراض (فتره الحضانة) .. وكذلك البرامج المصابة قد تظل تعمل مدة طويلة بدون ظهور أي أعراض عليها.

5- يقوم الفيروس العضوي بتغيير نفسه حتى يصعب اكتشافه (الإيدز مثلاً) .. وكذلك الفيروس الإلكتروني فإنه يتشبه بالبرامج حتى لا يقوم أي مضاد للفيروسات باكتشافه.

ومن خلال هذه الأسباب يتضح لماذا سمي الفيروس بهذا الاسم رغم أنه في الواقع ليس سوى برنامج من برامج الكمبيوتر. وقد كان التشابه بين الفيروسين سبباً لبعض المواقف الطريفة.. منها أن بعض الناس أصابه الرعب لدرجة أنهم يتناقلون الأقراص وهم يرتدون القفازات وكأنه فيروس حيوي ينتقل في الجو!

ما هو الفيروس؟ كيفية عمله؟ وما هي العوامل التي أدت إلى سرعة انتشار الفيروسات؟

- يوجد تعريفين للفيروس هما:
الأول / أن الفيروس عبارة عن كود برمجي (شفرة) الغرض منها إحداث أكبر قدر من الضرر؛ ولتنفيذ ذلك يتم إعطاؤه القدرة على ربط نفسه بالبرامج الأخرى عن طريق التوالد والانتشار بين برامج الحاسب وكذلك مواقع مختلفة من الذاكرة حتى يحقق أهدافه التدميرية.

الثاني/ أن الفيروس عبارة عن برنامج تطبيقي يتم تصميمه من قبل أحد المخربين لكي يدمر البرامج والأجهزة.

لأي التعريفين تميل؟؟ شخصياً أميل إلى التعريف الأول لعدة أسباب منها: أن الفيروس لا يستطيع أن يعمل بمفرده دون وسط ناقل.. هل سمعت يوماً عن فيروس وجد منفرداً ؟! وإلاّ كيف يستطيع أن ينتقل من حاسب لاخر لأن أي عاقل لن يقبل أن يرسل له فيروس بصورته المجردة.

- كيف يعمل الفيروس ؟
يحاول كل فيروس تقريباً أن يقوم بنفس الشيء.. وهو الإنتقال من برنامج إلى آخر ونسخ الشفرة إلى الذاكرة ومن هناك تحاول الشفرة نسخ نفسها إلى أي برنامج يطلب العمل أو موجود بالفعل قيد العمل، كما تحاول هذة الشفرة أن تغير من محتويات الملفات ومن أسما ئها أيضاً دون أن تعلم نظام التشغيل بالتغيير الذي حدث، مما يتسبب في فشل البرامج في العمل.

وتعرض أيضا رسائل مزعجة ومن ثم تخفض من أداء النظام أو حتى تدمر النظام كاملاً.

وهناك بعض الفيروسات تلتقط عناوين البريد الإلكتروني ثم تؤلف رسائل نيابة عنك وترسلها إلى جميع العناوين الموجودة في مجلد العناوين لديك مرفقة بملفات ملوثة بالفيروس.

- العوامل التي أدت إلى سرعة انتشار الفيروسات:
1- التوافقية Compatibility :
وتعني قدرة البرنامج الواحد على أن يعمل على حاسبات مختلفة وعلى أنواع وإصدارات مختلفة من نظم التشغيل، وهذا العامل رغم تأثيره الإيجابي والهام بالنسبة لتطوير الحاسبات إلاّ أن أثره كان كبيراً في سرعة انتشار الفيروسات. كما ساعدت أيضاً البرامج المقرصنة في سرعة انتقال الفيروسات.

2- وسائل الإتصالات Communications :
كان لوسائل الاتصالات الحديثة السريعة دور هام في نقل الفيروسات. ومن أهم هذه الوسائل: الشبكات بما فيها شبكة الانترنت.. وإلاّ لما استطاع فيروس الحب أن يضرب أجهزة في أمريكا وهو مصدره الفلبين.

3- وسائط التخزين:
مثل: الأقراص المرنة Floppy والأقراص المضغوطة CD وخاصة إذا كانت صادرة عن جهاز مصاب.

هناك الآف من الفيروسات المنتشرة عبر الانترنت , لكن اغلبها ما يقع تحت هذه النقاط الستة :

اولا: فيروسات بدء التشغيل
هذا النوع من الفيروسات يصيب قطاع بدء التشغيل في الجهاز , و هو المكان المخصص الذي يتجه اليه الكمبيوتر في بداية تشغيل الجهاز. و هذا النوع من الفيروسات قد يمنع المستخدم من الوصول الى النظام ويمنعه من فتح الجهاز.

ثانيا: فيروس الملفات
يصيب البرامج عادة , و ينتشر بين الملفات الاخرى و البرامج الاخرى عند تشغيله.

ثالثا: فيروس الماكرو
هذه الفيروسات تصيب برامج الميكروسوفت اوفيس مثل الوورد و الاكسل, و تعتبر ذات انتشار واسع جدا تقدر ب 75% من عدد الفيروسات الموجودة. يقوم هذا النوع من الفيروسات بتغيير بعض المستندات الموجودة في القرص الصلب و خصوصا الوورد , قد تجد بعض التصرفات الغير منطقية في بعض الاحيان مثل طلب باسوورد لفتح ملف تعرف انك لم تضع عليه باسوورد , و ايضا تجد بعض الكلمات قد تغير مكانها و اضيفت كلمات جديدة لا علاقة لها بالموضوع . هي اساساً ليست ضارة, لكنها مزعجة نوعاً ما و قد تكون مدمرة احيانا.

رابعا: الفيروس المتعدد الاجزاء
و هو الذي يقوم باصابة الملفات مع قطاع الاقلاع في نفس الوقت ويكون مدمراً في كثير من الاحيان اذا لم تتم الوقاية منه.

خامسا: الفيروس المتطور
هي فيروسات متطورة نوعا ما حيث انها تغير الشفرة كلما انتقلت من جهاز الى آخر. ونظريا يصعب على مضادات الفيروسات التخلص منها لكن عمليا ومع تطور المضادات فالخطر اصبح غير مخيف.

سادسا:الفيروس المختفي
تخفي نفسها بأن تجعل الملف المصاب سليما و تخدع مضادات الفيروسات بان الملف سليم و ليس مصاباً بفيروس. ومع تطور مضادات الفيروسات اصبح من السهل كشف هذا النوع.

ماهي العلامات الشائعة لوجود فيروس في الجهاز:

- بطء الجهاز الشديد، بما لا يتناسب مع عدد البرامج التي تعمل في نفس الوقت.

- امتلاء القرص بما لا يتناسب مع عدد و حجم الملفات الموجودة عليه.

- ظهور مربّعات حوار غريبة اثناء العمل على الجهاز.

- اضاءة لمبة القرص الصلب أو القرص المرن، دون أن تقوم بعملية فتح أو حفظ ملف.

لابد أن تعرف أن هذه العلامات لا تعني بالضرورة وجود فيروس، فقد يكون بعضها بسبب مشكلة في الجهاز نفسه.

الدودة: تصيب الدودة الكمبيوترات الموصلة بالشبكة بشكل اوتوماتيكي ومن غير تدخل الانسان وهذا الامر يجعلها تنتشر بشكل اوسع واسرع عن الفيروسات.

والفرق بينهم هو ان الديدان لا تقوم بحذف او تغيير الملفات بل تقوم باستهلاك موارد الجهاز واستخدام الذاكرة بشكل فظيع مما يؤدي الى بطء ملحوظ جدا للجهاز , ومن المهم تحديث نسخة النظام المستخدم في الجهاز كي يتم تجنب الديدان.

ومن المهم عند الحديث عن الديدان الإشارة إلى تلك التي تنتشر عن طريق الإيميل. حيث يرفق بالرسالة ملفاً يحتوي على دودة، وعندما يشغّل المرسل إليه الملف المرفق، تقوم الدودة بنشر نفسها إلى جميع الإيميلات الموجودة في دفتر عناوين الضحية.

التروجان: وهو عبارة عن برنامج يغري المستخدم باهميته او بشكله او باسمه ان كان جذاباً, وفي الواقع هو برنامج يقوم بفتح باب خلفي ان صح التعبير بمجرد تشغيله , ومن خلال هذا الباب الخلفي يقوم المخترق باختراق الجهاز وبامكانه التحكم بالجهاز بشكل كبير حتى في بعض الاحيان يستطيع القيام بأمور , صاحب الجهاز نفسه لا يستطيع القيام بها , وهذا لا يرجع لملف التروجان, لكن ملف التروجان هو الذي فتح للمخترق الباب ان صح التعبير بتشغيله اياه.

الفيروس: عبارة عن برنامج صمم لينشر نفسه بين الملفات و يندمج او يلتصق بالبرامج. عند تشغيل البرنامج المصاب فانه قد يصيب باقي الملفات الموجودة معه في القرص الصلب او المرن, لذا الفيروس يحتاج الى تدخل من جانب المستخدم كي ينتشر , بطبيعة الحال التدخل عبارة عن تشغيله بعد ان تم جلبه من الايميل او تنزيله من الانترنت او من خلال تبادل الاقراص المرنة.

- لابد من موجود برنامج حماية من الفيروسات في جهازك.

- لابد أن تقوم بتحديثه بشكل دوري، وإلا فلا فائدة من وجوده لا تقم بفتح المرفقات في أي إيميل لا تعرف مرسله.

- لا تقم بفتح المرفقات في إيميلات أصدقائك إذا وجدتها تنتهي بـ اي اكس اي أو بي ايه تي أو أي امتداد لا تعرفه.

لا تقبل ملف من شخص لا تعرفه أبداً:
إذا قبلت ملفاً من شخص تعرفه، افحصه أيضاً ببرنامج الحماية، فقد يكون صديقك نفسه ضحية.

- احرص على فحص جميع البرامج التي تقوم بتنزيلها من الإنترنت، أو تشغيلها من قرص مرن أو سي دي قبل أن تشغّلها داوم على زيارة المواقع التي تهتم بالحماية من الفيروسات، للإطلاع على كل ما هو جديد في هذا المجال فالوقاية خير من العلاج.

معلومات عامة عن برامج الحماية من الفيروسات:
كما أسلفنا لابد من وجود برنامج الحماية من الفيروسات في الجهاز. ويقوم البرنامج بفحص وتدقيق الملفات وحماية الجهاز كما ينبغي. وهو يقوم بهذا العمل عن طريق البحث عن بصمات الفيروسات. فلكل فيروس بصمة عبارة عن رقم محدد. وبرنامج الحماية في الواقع يبحث عن هذه البصمة المحددة فإن وجدها فإنه يعلن عن وجود الفيروس. وهو اذ يقوم بذلك يقارن بين الملفات وبين جدول لبصمات الفيروسات المختلفة والكثير من الفيروسات تتم كتابتها و نشرها في الأسبوع الواحد و هكذا ترى أنه من المهم جداً أن يكون هذا الجدول محدّثاً باستمرار.

لذا فإن وجود برنامج الحماية نفسه ليس كافياً أبداً. بل لابد من تحديثه باستمرار.

بعض برامج الحماية من الفيروسات، تقوم بالحماية من التروجان و الديدان أيضاً، و لكن هناك بعض البرامج المتخصصة في مجال الحماية من الاختراق، التي تعمل بمساندة برامج المكافحة لحماية جهازك من أي ضر لعل أشهر برامج مكافحة الفيروسات (أو الحماية من الفيروسات) اثنين، هما برنامج نورتون للحماية من الفيروسات.
http://www.norton.com

وبرنامج ماكافي للحماية من الفيروسات :
http://www.mcaffee.com
وهذا الموقع يوفّر خدمة الفحص عبر الانترنت.

و في كلا البرنامجين ستجد وصلة واضحة لتحديث قائمة الفيروسات

http://www.antivirus.com
يقدم هذا الموقع إمكانية كشف الفيروسات مجاناً مباشرة عبر النت، ولكن لابد من معرفة أن هذه العملية تعني أنّك تعطي الموقع إمكانية حذف الملفات في جهازك، فإذا شئت فقم بها على مسؤوليتك الخاصة.

- يمكن لأي قرص أن يصاب بفيروس الـ تلف جزء من القرص الصلب.

- مجرّد وجودك في الانترنت لا يعرّضك للاصابة بفيروس. ولكنك تصاب به فقط إذا قمت بتنزيل برنامجاً مصاباً من الانترنت وقمت بتشغيله.

- لابد أن تحرص على استخدام نسخاً قانونية ومسجّلة من البرامج.

- لابد أن تقوم بعمل نسخة احتياطية لملفاتك المهمة بشكل دوري وذلك لاسترجاعها في حالة فقدانها لأي سبب تقني أو تعرّضك لفيروس.

لابد أن يكون في جهازك برنامجاً للحماية من الفيروسات، و لابد أن تقوم بتحديثه بشكل دوري.

لابد أن تقوم بفحص جميع البرامج التي تنوي تشغيلها، و كذلك جميع الأقراص التي تقوم شرائها قبل أن تشغّلها.

العناوين الرئيسية بوسائل الإعلام صباح الجمعة 5/5/2000 كانت مثيرة؛ فهي على سبيل المثال كانت: "قاتل من مانيلا…"، "فيروس الحب يغزو قلوب أجهزة الكمبيوتر"، "حالة تأهّب في أمريكا وأوروبا لمواجهة فيروس الحب في الكمبيوتر"، مما جعلنا نتذكر عناوين الصحف في يوم 27/4/1999م التي كانت: "فيروس تشيرنوبيل تحوَّل إلى وباء.. أصاب أجهزة الكمبيوتر بأضرار بالغة"، "تركيا: الفيروس ضرب الكلية العسكرية والتليفزيون والإذاعة"، "تشيرنوبيل يضرب في الكويت نظمًا معلوماتية: المطار والجامعة وبنوك وشبكات إنترنت… خارج السيطرة"، "فيروس تشيرنوبيل ضرب الكمبيوتر في مصر… الأجهزة المضبوطة على التقويم الهجري نجَتْ"، "فيروس Cih أطلقه الشرير المجهول فجعل كمبيوترات الحكومة في العناية المركزة!!"، "تشيرنوبيل يدمِّر الأنظمة مع سبق الإعلان والتحدِّي..!"

ما معنى ذلك؟!.. وهل وصلت تقنية فيروسات الكمبيوتر إلى هذا الحد الذي لا ينفع معه الإنذار المسبق..؟ وهل باتت تلك الفيروسات قنابل موقوتة تنفجر في الزمن المحدد، وبالضراوة المطلوبة من قبل صانعها..؟؟! هل بات علينا البحث بجدية وبأسلوب عالٍ بالغ الدقة لإيجاد الحماية اللازمة والوقاية من تلك الفيروسات؟ هل أصبح لزامًا علينا إيجاد شرطة دولية لاقتفاء أثر تلك الجهات التي تعمل على إنتاج وبرمجة تلك الفيروسات على هذا الشكل الذي أصبح خطيرًا؟؟