فيروسات الحاسب الألي

فيروسات الحاسب الألي هي إحدى أنواع البرامج الحاسب الآلية، إلاّ أنّ الأوامر المكتوبة في هذه البرنامج تقتصر على أوامر تخريبية ضارة بالجهاز ومحتوياته، فيمكن عند كتابة كلمة أو أمر ما، أو حتى مجرد فتح البرنامج الحامل للفيروس، أو الرسالة البريدية المرسل معها الفيروس، إصابة الجهاز به ومن ثَمّ قيام الفيروس بمسح محتويات الجهاز أو العبث بالملفات الموجودة به. وقد عرّفها أحد خبراء الفيروسات (Fred Cohen) بأنّّها نوع من البرامج التي تؤثّر في البرامج الأخرى، بحيث تعدّل في تلك البرامج لتصبح نسخة منها، وهذا يعنى ببساطة أنّ الفيروس ينسخ نفسه من حاسب آلي إلى حاسب آلي آخر، بحيث يتكاثر بأعداد كبيرة ( Highley,1999 ).

ويمكن تقسيم الفيروسات إلى خمسة أنواع :

الأول: فيروسات الجزء التشغيلي للاسطوانة كفيروس Brain)) و(Newzeland).

الثاني: الفيروسات المتطفلة كفيروس (Cascade) وفيروس (Vienna).

الثالث: الفيروسات المتعددة الأنواع كفيروس (Spanish-Telecom) وفيروس (Flip).

الرابع:الفيروسات المصاحبة للبرامج التشغيلية ( exe) سواء على نظام الدوس أو الوندوز.

الخامس: يعرف بحصان طروادة، وهذا النوع يصنّفه البعض كنوع مستقّل بحد ذاته، إلاّ أنّه أدرج في هذا التقسيم كأحد أنواع الفيروسات، وينسب هذا النوع إلى الحصان اليوناني الخشبي الذي استخدم في فتح طروادة حيث يختفي الفيروس تحت غطاء سلمي إلا أنّ أثره التدميري خطير.

وتعمل الفيروسات على إخفاء نفسها عن البرامج المضادة للفيروسات باستخدام طرق تشفير لتغيّر أشكالها، لذلك وجب تحديث برامج مكافحة الفيروسات بصفة دائمة (عيد،1419هـ : 63-66).

ويختلف الخبراء في تقسيمهم للفيروسات، فمنهم من يقسمّها على أساس المكان المستهدف بالإصابة داخل جهاز الكمبيوتر، ويرون أنّ هناك ثلاثة أنواع رئيسة من الفيروسات هي: فيروسات قطاع الإقلاع(Boot Sector) وفيروسـات المـلفات(File Injectors)وفيروسـات الماكرو(macro Virus).

وهناك من يقسّمها إلى: فيروسـات الإصابة المـباشـرة (Direct action) وهي التي تقوم بتنفيذ مهمتها التخريبية فور تنشيطها، أو المقيمة (staying) وهي التي تظل كامنة في ذاكرة الكمبيوتر وتنشط بمجرد أن يقوم المستخدم بتنفيذ أمر ما، ومعظم الفيروسات المعروفة تندرج تحت هذا التقسيم، وهناك أيضاً الفيروسات المتغّيرة (Polymorphs) التي تقوم بتغيير شكلها باستمرار أثناء عملية التكاثر حتى تضلّل برامج مكافحة الفيروسات ( موقع جريدة الجزيرة ،2000).

ومن الجرائم المتعلقة بإرسال فيروسات حاسوبية قيام شخص أمريكي يدعى (Robert Morris) بإرسال دودة حاسوبية بتاريخ الثاني من نوفمبر عام (1988م) عبر الإنترنت، وقد كرّر الفيروس نفسه عبر الشبكة بسرعة فاقت توقع مصمم الفيروس وأدى ذلك إلى تعطيل ما يقارب من (6200) ستة آلاف ومائتي حاسبِِ آلي مرتبط بالإنترنت، وقد قدرّت الأضرار التي لحقت بتلك الأجهزة بمئات الملايين من الدولارات. ولو قُدّر لمصمم الفيروس تصميمه بحيث يكون أشدّ ضرراً، للحقت أضرار أخرى لا يمكن حصرها بتلك الأجهزة، وقد حُكم على المذكور بالسجن ثلاث سنوات بالرغم من دفاع المذكور عن نفسه أنّه لم يكن يقصد إحداث مثل تلك الأضرار(Morningstar, 1998).

كيف يتم اقتحام الجهاز؟

لتتم عملية الاقتحام يجب زرع حصان طروادة في جهاز الضحية بعدة طرق منها:

1. يرسل عن طريق البريد الإلكتروني باعتباره ملفاً ملحقاً حيث يقوم الشخص باستقباله وتشغيله، وقد لا يرسل وحده حيث من الممكن أن يكون ضمن برامج، أو ملفات أخرى.

2. عند استخدام برنامج المحادثة الشهير (ICQ) وهو برنامج محادثة أنتجته إسرائيل.

3.عـند تحميل بـرنامج من أحد المواقع غير الموثوق بها وهي كثيرة جدا.

4.طريقة أخرى لتحميله، تتلخّص في مجرد كتابة كوده على الجهاز نفسه في دقائق قليلة.

5.في حالة اتصال الجهاز بشبكة داخـلية أو شبكة إنترانت.

6.يمكن نقل الملف أيضاً بواسطة برامج (FTP) أو (Telnet) الخاصة بنقل الملفات.

7.كما يمكن الإصابة من خلال بعض البرامج الموجودة على الحاسب مثل الماكرو الموجود في برامج معالجة النصوص (Nanoart,2000).

وبصفة عامة فإن برامج القرصنة تعتمد كلياً على بروتوكول الـ ((TCP/IP وهناك أدوات (ActiveX) مصمّمه ومجهّزة لخدمة التعامل بهذا البروتوكول، ومن أشهرها (WINSOCK.OCX) لمبرمجي لغات البرمجة الداعمة للتعامل مع هذه الأدوات. ويحتاج الأمر إلى برنامجين، خادم في جهاز الضحية، وعميل في جهاز المتسلل، فيقوم الخادم بفتح منفذ محدد مسبقاً في جهاز الضحية ، في حين يكون برنامج الخادم في حالة انتظار لحظة محاولة دخول المخترق لجهاز الضحية، حيث يتعرف برنامج الخادم (server) على إشارات البرنامج المخترق، ويتم الاتصال، ومن ثَمّ يتمّ عرض كامل محتويات جهاز الضحية عند المخترق، حيث يتمكّن من العبث بها أو الاستيلاء على ما يريد منها .

فالمنافذ (Ports) يمكن وصفها ببوابات للجهاز، وهناك ما يقارب الـ(65.000) منفذ تقريباً في كل جهاز، يميّز كلّ منفذ عن الآخر برقم خاص ولكلّ منها غرض محدد، فمثلاً المنفذ (8080) يخصص أحياناً لمزود الخدمة، وهذه المنافذ غير مادية مثل منفذ الطابعة، وتعدّ جزءاً من الذاكرة، لها عنوان معين يتعرف عليها الجهاز بأنّها منطقة إرسال واستقبال البيانات، وكلّ ما يقوم به المتسلل هو فتح أحد هذه المنافذ للوصول لجهاز الضحية وهو ما يسمى بطريقة الزبون/الخادم Client\Server)) حيث يتمّ إرسال ملف لجهاز الضحية، يفتح المنافذ فيصبح جهاز الضحية (server)، وجهاز المتسلل (Client)، ومن ثَمّ يقوم المتسلل بالوصول لهذه المنافذ باستخدام برامج كثيرة متخصصة كبرنامج ((Net Bus أو ((Net Sphere.

ولعلّ الخطورة الإضافية تكمن في أنّه عند دخول المتسلل إلى جهاز الضحية فإنّه لن يكون الشخص الوحيد الذي يستطيع الدخول لذلك الجهاز، حيث يصبح ذلك الجهاز مركزاً عاماً يمكن لأي شخص الدخول عليه بمجرد عمل مسح للمنافذ (Port scanning) عن طريق أحد البرامج المتخصصة في ذلك.

خـطـورة برامج حـصان طروادة:

بداية تصميم هذه البرامج كان لأهداف نبيلة، كمعرفة ما يقوم به الأبناء، أو الموظفون، على جهاز الحاسب في غياب الوالدين، أو المدراء، وذلك من خلال ما يكتبونه على لوحة المفاتيح، إلا أنّه سرعان ما أسيء استخدامه. وتعدّ هذه البرامج من أخطر البـرامــج المستخدمة من قبل المتسللين، لأنّه يتيح للدخيل الحصول على كلمات المرور (passwords)، وبالتالي الهيمنة على الحاسب الآلي بالكامل. كما أنّ المتسلّل لن يتمّ معرفته أو ملاحظته لأنّه يستخدم الطرق المشروعة التي يستخدمها مالك الجهاز. كما تكمن الخطورة أيضاً في أنّ معظم برامج حصان طروادة لا يمكن ملاحظتها بواسطة مضادات الفيروسات، إضافة إلى أنّ الطبيعة الساكنة لحصان طروادة يجعلها أخطر من الفيروسات، فهي لا تقوم بتقديم نفسها للضحية مثلما يـقـوم الفيروس الذي دائما ما يمكن ملاحظته من خلال الإزعاج، أو الأضرار التي يقوم بها للمستخدم، وبالتالي فإنه لا يمكن الشعور بهذه الأحصنة أثناء أدائها لمهمتها التجسسية، وبالتالي فإنّ فرص اكتشافها، والقبض عليها تكاد تكون معدومة (Nanoart,2000).