الجمعة، 30 أكتوبر، 2009

دائما كلمة فيروس تثير الخوف والفزع أينما ذكرت، و فيروسات الكمبيوتر على الأخص تتمتع بهالة خاصة autorun_virus من الغموض نتيجة لعدم المعرفة الكافية لدى الكثير من الناس، غير كمية الخيال الغير علمي التي أخرجها هذا الغموض من مؤلفين الروايات وكانت مادة ثرية لأفلام السينما الأمريكية، فأصبحنا نرى الفيروسات الالكترونية تهاجم عقول البشر، تدمر شاشات الحاسب و تثير الفزع في كل مكان!

لا بأس أن نجد كاتب مجنون ومخرج أكثر منه جنونا، يستطيعان انتاج فيلم يحطم أرقام الايرادات القياسية، فبالتأكيد سنكون سعداء ومستمتعين باللحظات التي نعيشها مع هذا الجنون، لكن عندما تظلم الشاشة وتظهر كلمة النهاية، يكون الكثرين قد إزداد بعدا عن مفهوم وماهية هذا العالم الغامض المسمى فيروسات الكمبيوتر.

منذ بداية علاقتي بأجهزة الكمبيوتر كنت حريص على البحث بداخل هذا العالم، وفهم معظم تفاصيله، كما أن الحظ أسعدني بمواجهات مباشرة مع العديد من هذه الفيروسات، توصلت من خلالها لحقيقتين:

الأولى أن وصف أحد أنظمة التشغيل بانه نظام خالي من الفيروسات هو مجرد خدعة تسوقية، لابد أن ينكشف زيفها فى أحد الأيام.

الثانية إعتماد كل فيروس على قدرات وخصائص نظام تشغيل محدد ينشط ويعمل من خلاله، ويصبح عاجز فاقد القدرة على العمل إذا لم يجد هذا النظام.

أكثر فيروس تعاملت معه ويوضح هذه الحقيقة بمنتهى الوضوح فيروس autorun، الذي إستطاع أن يحول نظام التشغيل Windows للعبة بين يديه، فقط من خلال إستغلال وظائف و إمكانيات Windows نفسها!

يعتمد هذا الفيروس في تشغيلة و إنتشاره على ميزة وفرتها Microsoft فى نظامها منذ منتصف التسعينات فى Windows95 و إستمر استخدامها فى الاصدارات التالية حتى Windows7 لكن مع فرض قيود على إستخدامها مؤخرا لحماية المستخدم، وهي ميزة AutoRun التي كانت موجهة فى البداية لإسطوانات البرامج العاملة تحت Windows بهدف تشغيلها تلقائيا بمجرد تعرف النظام عليها، من أجل التسهيل على المستخدم فى إستخدام وتثبيت البرامج.

لم يواجه مستخدمي Windows95 أو Windows98 أي مشاكل أمنية مع هذه الميزة، بل كانت محبوبة من الجميع تقريبا، لكن مع إطلاق عائلة Windows Server الموجهة للشركات الكبيرة والمتوسطة، وأيضا Windows XP Professional، الموجهة للشركات الصغيرة وتتمتع بالعديد من مميزات Windows Server بدئت تظهر مشاكل أمنية لم تكن فى حسبان مهندسي Microsoft!

النسخ السابقة من Windows حاولت أن تساعد مديرين الشبكات System Administrator بالشركات فى تحديد صلاحيات المستخدمين بسهولة عن طريق Group Policy، التي تسمح بالتحكم فى كل أجزاء و وظائف Windows من حيث الاتاحة أو الحجب.

كانت الثغرة التي إستغلها مبتكر autorun virus هي إمكانية التعديل في هذه الوظائف بواسطة اي برنامج بدون علم المستخدم، و هو ما حاولت Microsoft معالجته فى Windows Vista من خلال الاختراع المزعج User Account Control، أذكر جيدا أني في أول تعامل مع Windows Vista لم  أهدئ حتى حجبت هذه الخاصية!

عندما أفكر فى مبتكر هذا الفيروس، فاني أتخيله شاب يتمتع بحب كبير للمغامرة (كذلك معظم مخترعي الفيروسات)، مع قدر جيد من حب المعرفة والبحث، فعليا لا يحتاج لأكثر من هذا لينتج فيروس يحرج Microsoft ويربك أعمال ألاف المستخدمين لنظام الويندوز!

أراه بعين الخيال عاقدا يديه أمام صدره وعينه تتأمل شاشة الكمبيوتر، و بداخل عقله تتشكل ملامح هذا الفيروس ويربط أجزائه فيما بينها، البداية ملف autorun.inf الذي يتم تنفيذ تعليماته بمجرد فتح Duble Cklick أي Partition من هارد الكمبيوتر أو الفلاش ميموري، فيقوم بتشغيل برنامج صغير ينفذ مجموعة الخطوات التي تضمن له السيطرة على نظام الويندوز وتسمح له بمزيد من الانتشار.

يبدء بزرع ملف جديد بين ملفات Windows يحتوي على تعليمات السيطرة على النظام، ثم ينسخ نفسه مع ملف autorun.inf على كل ما يمكن أن ينسخ نفسه عليه، أجزاء الهارد ديسك، فلاش ميموري، ذاكرة موبايل متصل بالكمبيوتر ..الخ، ويخفي نفسه عن أعين المستخدم باستغلال ثغرة جديدة فى الويندوز، هي خاصية hide protected operating system files، التي كان الهدف منها إخفاء ملفات النظام عن أعين المستخدم، لعدم إرباكه وضمان عدم حذفها بالخطاء!

كما ترون مبتكر هذا الفيرس فى الحقيقة لم يأتي بأي شيئ جديد، و لم يخترع المستحيل، فقط إستطاع ربط هذه الحقائق البسيطة عن Windows وقدم لها أسؤ هدية فى تاريخها، ولم تنتهي القصة عند هذا الحد، فهذا الفيروس مستمر منذ ثلاث سنوات فى مهاجمة أنظمة ويندوز وبالأخص Windows XP، ومستمر أيضا فى تطوير وتغير شكله وطريقة عمله فى نفس الوقت.

هذا التطوير يريد من وراءه ساعات قليلة يختفي خلالها عن أعين مضادات الفيروسات Anti Virus، يمر فقط من تحت اعينهم ويصيب عدة أنظمة قبل أن يكتشف خبراء أمن البيانات هذا التطوير الجديد وتبدء التحديثات ضده بالسريان فى كابلات شبكة الانترنت، أما الأنظمة التى أصابها قبل التحديث ستكون كفيلة بانتشاره خلال عدة أيام على الألاف من الأجهزة الاخرى لم يصلها التحديث بعد.

أحد الأشكال التي أصبح يتبعها هذا الفيروس هو ما ترونه فى الصورة المرفقه لهذا الموضوع بالأعلى، فالفيروس أصبح يتنكر في شكل ملف صورة، لا ليخدع المستخدم ولكن لخفي نفسه عن برامج مضادات الفيروسات التي غالبا لا تقوم بفحص ملفات الصور و الموسيقى والأفلام، لآنها فى الغالب ليست ملفات ناقلة للفيروسات.

أعتقد أيضا من هذا التنوع الذي شاهدته فى هذا الفيروس، أن فكرته إنتقلت لعشرات الهواة يقومون بتصميم فيروسات تسير على نفس منهج الفيروس الأول، يعبثون بها فى أنظمة Windows ويكتشفون الجانب الشرير بداخلهم!

اليوم Microsoft تمكنت من القضاء على معظم الثغرات التي إستخدمها مبتكر هذا الفيروس ومن قلدوه فى أحدث إصداراتها Windows7، وبالتالي عندما تشاهد ممثل لشركة Microsoft يبتسم و هو يصف هذا الويندوز بانه الأكثر أمانا وينصح المستخدمين بالانتقال اليه، فان من بين ما يعنيه بهذا الكلام، نجاح Microsoft فى الوقت الحالي على الأقل، فى القضاء على فيروس autorun!

أخيرا و لضمان حماية فعالة لنظام الويندوز لديك ضد أخطار الفيروسات، أنصحك باستخدام الاصدارة المجانية من AVG 9.

6 التعليقات

ihos4m يقول... 30 أكتوبر، 2009 9:35 م

فعلاً نظام التشغيل Windows Xp,Vista كان مقبرة لجميع الفيروسات تقريباً .. وكم من مرة أشاهد أحداً يقوم بفرمته كامل جهازه بسبب ذلك الفيروس .. والحمد لله أنني أنتقلت لـWindows 7 وقريباً لـUbuntu .. وأشكرك علي الإصدارة المجانية لـAVG ..

امل عبد الواحد يقول... 30 أكتوبر، 2009 9:58 م

مفيش شك انى بحتاج فى كل تدوين من مدوانتك على اختلاف درجات صعوبها لشىء من التركيز
لكن فى النهاية بطلع ولو بملخص بسيط ومعلومة جديدة واعتقد ان ده نجاح ان حتى اللى مالهمش فيها على رأى بتوع الكورة
بيستفيدوا من المدونة

ashraf7amdy يقول... 30 أكتوبر، 2009 10:35 م

تحليل وافى للموضوع كالعاده
اشكرك على هذه المدونه الرائعه

غير معرف يقول... 3 نوفمبر، 2009 5:52 م

شكرا .
والله هذا الفيروس من اكثر الفيروسات انتشارا في منطقتنا . والان عرفت سبب عدم القدرة على القضاء عليه كل هذه الفترة

مواطن يقول... 18 أبريل، 2010 3:17 ص

السيد المحترم عمرو فهمي

للأسف احدهم قام بسرقة مقالك ونشره تحت اسمك،
راجع الرابط التالي
http://www.alwatan-libya.com/default.asp?mode=more&NewsID=9428&catID=24

عمرو فهمي يقول... 19 أبريل، 2010 3:40 م

شكرا لتنبيهك أخي مواطن
قمت بمراسلة الجريدة وفي انتظار ردهم

إرسال تعليق