ما هو الفيروس ؟


هو برنامج حاسوبي يقوم بتغيير خصائص الملفات التي يصيبها لتقوم بتنفيذ بعض الأوامر إما بالإزالة أو التعديل أو التخريب, كما يمكنه إعادة نشر نفسه عن طريق الالتصاق بملفات تشغيلية مختلفة بحيث يتم تشغيله تلقائيا عند تشغيل الملف المصاب.

يمكننا القول أن الفيروس يقوم بتشغيل نفسه من دون إذن أو علم الضحية ولكن هذا لا ينطبق بشكل علمي مطلق فمعظم الفيروسات لا يمكنها تشغيل نفسها بنفسها إذ لا بد من تشغيلها يدويا باستخدام الضحية أو عن طريق غير مباشر بالالتصاق بأحد البرامج التشغيلية التي يستخدمها المصاب.



خطورة الفيروس :

قد يؤدى الإصابة بالفيروس إلى تعطيل عمل البرامج أو تقليل سرعتها أو إصابة الجزء الخاص بتشغيل جهاز الكمبيوتر مما يؤدى إلى إيقاف عمل الجهاز أو قد يؤدى الفيروس إلى مسح منطقة جدول التقسيم (جدول التقسيم هو فهرس يحتوى على أسماء الملفات و أماكن وجودها على القرص الصلب ) كما أنها تقوم بنسخ نفسها فوراً بمجرّد تشغيل البرنامج المصاب. و هي تنسخ نفسها للأقراص الأخرى، فإذا كان الكمبيوتر مصاباً ووضعت فيه قرصاً مرناً، يتم نسخ الفيروس أوتوماتيكيا للقرص المرن. و نظراً لهذه الخاصية في الفيروسات، تجد أن القرص المصاب يعطيك علامة أنه ممتلئ تماماً برغم أنك لم تقم بتخزين غير ملفات ذات حجم صغير.



أعراض الإصابة بالفيروسات :

تكرار رسائل الخطأ في أكثر من برنامج , ظهور رسالة تعذر الحفظ لعدم كفاية المساحة , تكرار اختفاء بعض الملفات التنفيذية ، حدوث بطء شديد في نظام التشغيل أو تنفيذ بعض التطبيقات , رفض بعض التطبيقات للتنفيذ , فالفيروس عبارة عن برنامج صمم لينشر نفسه بين الملفات و يندمج أو يلتصق بالبرامج. فعند تشغيل البرنامج المصاب فإنه قد يصيب باقي الملفات الموجودة معه في القرص الصلب أو المرن, لذا الفيروس يحتاج إلى تدخل من جانب المستخدم كي ينتشر , بطبيعة الحال التدخل عبارة عن تشغيله بعد أن تم جلبه من الايميل أو تحميله من الانترنت أو من خلال تبادل الأقراص المرنة .

بعد الانتهاء من تعريف الفيروس و إيضاح خطورته ودلائل الإصابة بالفيروسات يمكننا الخوض في موضوعنا عن فيروس MyDoom (أو ما يسمّى Novarg)

أحدث‏ ‏هذا‏ ‏الفيروس‏ ‏حالة‏ ‏من‏ ‏الذعر‏ ‏بين‏ ‏مستخدمي‏ ‏شبكة‏ ‏الإنترنت‏ ‏ ‏, ‏فقد‏ ‏انتشر‏ ‏بطريقة‏ ‏واسعة‏ ‏‏ ‏في‏ ‏مختلف ‏دول‏ ‏العالم‏, ‏فيروس‏ Mydoom ‏من‏ ‏نوع‏ ‏الدودة‏ ‏التي‏ ‏تنتشر‏ ‏من‏ ‏خلال‏ ‏البريد‏ ‏الإلكتروني‏, ‏كما‏ ‏ينتشر‏ ‏من‏ ‏خلال‏ ‏برنامج‏ ‏تبادل‏ ‏ملفات‏ ‏الموسيقي‏ ‏والأغاني‏ KaZaa ‏الشهير‏, ‏يستخدم‏ ‏الفيروس‏ ‏أسلوب‏ ‏الخداع‏ ‏في‏ ‏الرسالة‏ ‏التي‏ ‏تحمله‏ ‏إلى ‏الضحايا‏, ‏فتظهر‏ ‏الرسالة‏ ‏كأنها‏ ‏من‏ ‏الشركة ‏التي‏ ‏تقدم‏ ‏لك‏ ‏خدمة‏ ‏البريد‏ ‏الإلكتروني‏, أو من شخص ما من أصدقائك أو من مصادر مشبوهة وتكون الرسالة مرفقه بملف ملحق Attachment File يحوي على الفيروس . وقد بدأ نشاطه بالانتشار في 26/1/2004

طرق انتشاره :

تقوم هذه الدودة بنشر نفسها بطريقتين من خلال :



الطريقة الأولى: البريد الالكتروني

حيث تقوم الدودة بجمع العناوين من دفتر العناوين في بريدك الالكتروني أو من خلال الملفات التي تحتوي على الامتداد pl, adb, tbb, dbx, asp, php, sht, htm, txt وتقوم بإرسال نفسها لتلك العناوين محاولةً تجاوز خدمة الحماية ضد الرسائل الدعائية في البريد الالكتروني.



كيفية معرفة الرسائل المشبوهة:

هذه الرسائل يمكن معرفتها حيث أن لها أشكال وخصائص معينة فهي عادةً تكون معنونة بأحد العناوين التالية:

test

hi

hello

Mail Delivery System

Mail Transaction Failed

Server Report

Status

Error

ومحتوى الرسالة يكون أحد هذه :

test



The message cannot be represented in 7-bit ASCII encoding

and has been sent as a binary attachment.



The message contains Unicode characters and has been sent

as a binary attachment.



Mail transaction failed. Partial message is available.



أما أسماء الملفات الملحقة بالرسالة فهي تحمل أحد هذه الأسماء:

document

readme

doc

text

file

data

test

message

Body



و امتداد الملفات سيكون أحد هذه الامتدادات :

pif

scr

exe

cmd

bat

Zip



الملفات التي تحمل امتداد zip تكون بأحجام متفاوتة عادةً يكون بحجم 22 كيلوبايت , كما أنها ليست خطرة في حالة الضغط عليها بالماوس مرتين لفتح الملف حيث أن الخطورة تكمن بالضغط على محتوى هذا الملف كما أنه يمكن لمحتوى هذا الملف أن يأخذ امتدادات مضاعفة على سبيل المثال "body.htm .pif "

يمكن تصور الرسالة على أنها تبدو متمثلة في الشكل التالي:









الطريقة الثانية : برنامج تبادل الملفات والأغاني KaZaa

سيقوم الفيروس بنسخ نفسه عند تبادل الملفات من خلال هذا البرنامج باسم إحدى الملفات التالية:

winamp5

icq2004-final

activation_crack

strip-girl-2.0bdcom_patches

rootkitXP

office_crack

nuke2004



والتي ستكون بأحد هذه الامتدادات:

.bat

.exe

.scr

.pif





طريقة عمل الفيروس:

عندما يعمل الفيروس فإنه ‏يقوم‏ بإنشاء برنامج يحمل اسم "SwebSipcSmtxSO" ‏‏‏حتى يتأكد‏ ‏من‏ ‏عدم‏ ‏وجود‏ ‏أكثر‏ ‏من‏ ‏نسخة‏ ‏للفيروس‏ ‏علي‏ ‏نفس‏ ‏الكمبيوتر‏.

وبعد ذلك ‏يقوم‏ ‏بفتح‏ ‏برنامج‏ Notepad لويندوز ‏ويضع‏ ‏به‏ ‏حروف و أرقام و رموز كثير كما في الشكل التالي





بعد هذا ستقوم هذه الدودة بنسخ نفسها على مجلد نظام ويندوز على ملفات الريجستري باسم"taskmon.exe":

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]

"TaskMon" = %sysdir%taskmon.exe



أو إذا فشلت في ذلك

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]

"TaskMon" = %sysdir%taskmon.exe



من أجل أن يتم ضمان تشغيله نفسه في كل مرة يتم فيها تشغيل ويندوز.



خطورة الفيروس و تأثيره :

يقوم الفيروس بفتح جميع منافذ TCP من منفذ 3127 حتى 3198 بطريقة متسلسلة.

و يقوم بإنشاء ملف تجسس وسيبقى في انتظار أي اتصال من المهاجم على المنافذ التي قام بفتحها والتي يمكن من خلال الاتصال بها التحكم و تنفيذ برامج و وحذف وتعديل وتخريب و تحميل الملفات من الكمبيوتر المصاب دون علم الضحية.

الدودة ليس لها اثر تخريبي على الملفات ولكن الخطر الأكبر هو ملف التجسس والذي يمكن من خلاله إحداث ضرر على النظام وعلى الضحية.

وتعمل هذه الدودة على إغراق البريد الالكتروني بالرسائل.





أنواعه:

تم إصدار عدد من النسخ لفيروس MyDoom وكل منها يقوم إما بعمل نفس الفيروس الأصلي مع اختلاف الاسم أو يكون أكثر تطور ويقوم ببعض الأعمال التخريبية الخاصة به.



مثل MyDoom.a ,MyDoom.f, MyDoom.h , MyDoom@MM ,MyDoom.h, …. وكل نسخة قد تحتوي على أبناء تبعاً لها فمثلا نسخة MyDoom@MM تحتوي على 37 نسخة منها :

Win32/Mydoom.AP@mm,Win32/Mydoom.AD@mm,Win32/Mydoom.AE@mm Win32/Mydoom.AF@mm,Win32/Mydoom.AG@mm,Win32/Mydoom.AL@mm

Win32/Mydoom.AN@mm, Win32/Mydoom.AO@mm



يمكن معرفة الكثير من التفاصيل عن كل نوع بزيارة احد مواقع الشركات الكبرى المضادة الفيروسات مثل موقع مكافي www.mcafee.com أو موقع النورتون www.symantec.com





الأنظمة التي يصيبها الفيروس:

يصيب الفيروس جميع أنظمة مايكروسوفت ويندوز 95, ويندوز 98 , ويندوز Me , ويندوز 2000 , ويندوز NT , ويندوز XP إلا أن النظام الذي خرج سالماً من هذا الفيروس هو نظام اللينكس Macintosh.



طريقة إزالة الفيروس:

يمكن إزالة الفيروس باستخدام Tools التي توفرها الشركات المضادة للفيروسات مثل stinger من شركة mcafee والذي يقوم بإجراء فحص على الجهاز وإزالة هذا الفيروس من النظام أو بتحديث برنامج مضاد الفيروسات من البرنامج نفسه ثم تشغيله على الجهاز المصاب و التأكد من أنه يقوم بفحص شامل جميع الملفات.







أو بطريقة أخرى وذلك بالبحث يدوياً في ملفات النظام و الريجستري وحذف الأوامر التالية مع إعادة تشغيل الجهاز بعد الحذف :

[HKLMSoftwareMicrosoftWindowsCurrentVersionRunTaskMon]

[HKLMSoftwareMicrosoftWindowsCurrentVersionRunTaskMon]

[HKCRCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InprocServer32]



وكذلك حذف الدودة من دليل النظام (System Directory) : %SysDir%taskmon.exe.

وحذف ملف التجسس ومحتوياته من : %SysDir%shimgapi.dll.







الوقاية من الفيروس :

تتلخص طرق تجنب الإصابة بالفيروس في الأمور التالية وذلك طبقاً على ما ذكرته شركة ما ميكروسوفت :



* تمكين برنامج الجدار الناري على جهازك.
* أحصل على آخر تحديث لنظام التشغيل من موقع مايكروسوفت الرسمي.
* استخدام أحد برامج مكافحة الفيروسات مع التحديث المنتظم لها .
* تجنب تحميل أو فتح مرفقات البريد الالكتروني مجهولة المصدر والتي تحمل العناوين والامتدادات السابق ذكرها أو حتى التي تكون من أشخاص تعرفهم و إذا تبين أنها تحمل الفيروس فلا تتردد بحذفها.







المراجع :





http://www.wabash.edu/technology/news.cfm?news_ID=1331



http://www.f-secure.com/v-descs/novarg.shtml



http://www.thestandard.com/internetnews/002683.php



http://www.microsoft.com/security/encyclopedia/details.aspx?name=Win32%2fMydoom



http://www.securityfocus.com/news/7952