يصور البعض فيروس الحاسب على أنه كائن أسطوري يستطيع أن يفعل المعجزات ، و أن هذا الكائن إذا إستطاع السيطرة على الحاسب يمكن أن يقوم بكل شيء ، و أنة يستطيع التغلب علي أعتي البرامج المضادة للفيروسات . و الحقيقة أن هذه النظرة للفيروس ترجع إلى عدم وجود المعلومات الكافية عن الفيروس و طبيعته و كيف يمكن أن يصيب الحاسب .الأمر الذي دفعني إلى كتابة هذا المقال الذي أرجو أن يقوم بتقديم إسهام بسيط في الكشف عن فيروسات الحاسب . و النقطة الأولى التي يجب من خلالها تناول هذا الموضوع هي محاولة تعريف فيروس الحاسب . فالفيروس عبارة عن برنامج صغير الحجم ، له القدرة علي التخفي ، تتم زراعته داخل الحاسب بإحدى طرق الانتقال، ليصيب الحاسب بعدوى معينة وفقا للأغراض المصمم من أجلها . ومن خلال هذا التعريف يتضح أن أي برنامج تنطبق علية هذه الصفات يمكن أن نطلق علية فيروس ، و خلافاً عن الشائع بالنسبة للعديد من الكتابات في هذا المجال الذين يرون أن برنامج الفيروس لابد و أن تكون له أهداف تخريبية بالنسبة للجهاز المصاب به ، فأري أن لفظ الفيروس يطلق علي أي برنامج تنطبق علية المواصفات السابقة ، فمثلا هناك بعض الأنواع من ملفات Cookies و التي تقوم بإرسالها معظم المواقع علي الحاسب الشخصي للمستخدم دون أن يعلم بها ، هذه الملفات تحتوي على مجموعة من البيانات الخاصة بالمستخدم و التي يمكن للمواقع التي تقوم بإرسالها أن تستخدمها في التجسس علي المستخدم و الحصول علي بعض البيانات المتعلقة به مثل المواقع التي يقوم بزيارتها ، و الوقت الذي يقضيه في تصفح هذه الموقع و غيرها من المعلومات الهامة عن المستخدم ، هذا لا يعتبر عمل تخريبي بالنسبة للحاسب ، ولكنة في نفس الوقت يعتبر فيروس خطير في بعض الحالات . أما النقطة الثانية في التعريف الخاص بفيروسات الحاسب هي قدرة برنامج الفيروس علي التخفي و إصابة أجهزة الحاسب دون أن يشعر به المستخدم ، وهناك العديد من طرق التخفي التي يصمم بها برنامج الفيروس ليصيب الحاسب وينقل إلية العدوى ، وسوف نقوم بعرض أهم هذه الطرق من خلال التقسيم التالي
أ-الفيروسات الكتابية
و يقصد بالفيروسات الكتابية أن برنامج الفيروس يقوم بإصابة الحاسب عن طريق تكرار كتابة نفسه علي القرص الصلب أو وحدات التخزين الأخرى حتى يصيب أكبر عدد من الملفات و يقوم بتنفيذ المهام المصمم من أجلها . و الفيروسات الكتابية يمكن حصرها في نوعان
1- الفيروسات التي تصيب الملفات التنفيذية
و يقصد بالملفات التنفيذية تلك الملفات التي تكون من نوع
EXE (Executable File)
COM (Command File)
BAT (Batch File)
حيث أن تلك الملفات هي المسؤولة عن تشغيل البرامج الموجودة على الحاسب و بالتالي فإن إصابة هذه الملفات يؤدي إلي تعطيل البرنامج بالكامل – خاصة النوع الأول و الثاني ، أما النوع الثالث فيكاد يكون غير مستخدم في نظم التشغيل الحالية – و برنامج الفيروس عندما يصيب هذه الملفات فإنه أما أن يقوم بحذف الجزء الأول من الملف التنفيذي و كتابة نفسه في هذا المكان ، الأمر الذي يؤدي إلي توقف عمل الملف التنفيذي بشكل جزئي و ذلك بسبب الجزء الذي تم حذفه من الملف التنفيذي ، ويعرف هذا النوع من الفيروسات الكتابية بإسم فيروسات الكتابة الفوقية Over Writing Viruses . و أما أن يقوم برنامج الفيروس بنسخ نفسه في الجزء الأخير من الملف التنفيذي و بالتالي فإن الملف التنفيذي يظل يعمل بشكل طبيعي حتى ينشط الفيروس و يقوم بمهامه التخريبية ، و يعرف هذا النوع من الفيروسات الكتابية بإسم فيروسات الكتابة غير الفوقية Non - Over Writing Viruses
2 – فيروسات الكتابة المباشرة
و هو النوع الثاني من الفيروسات الكتابية ، و هذا النوع من الفيروسات لا يقوم بنسخ نفسه في ملف عادي مثل النوع الأول ، و إنما يقوم بكتابة نفسه مباشرة علي الأسطوانة الصلبة في مكان محدد يسمي Boot Record Area ، و هذا المكان من القرص الصلب يحتوي على مجموعة من البيانات التي يقوم نظام التشغيل بكتابتها على القرص الصلب و التي تسمى FAT و هي عبارة عن مجموعة من الجداول التي تحتوي علي أماكن وجود الملفات علي القرص الصلب و مساحتها و غيرة من المعلومات الهامة التي يؤدي فقدها إلي عدم قدرة نظام التشغيل علي التعامل مع الملفات الموجودة علي القرص الصلب ، أو بمعني آخر فإن هذا النوع من الفيروسات عندما يصيب الحاسب فإنه يؤدي إلي عدم قدرة نظام التشغيل علي التعامل مع الملفات بالرغم من أن هذه الملفات مازالت موجودة علي القرص الصلب و لم يتم حذفها ، ومن أشهر هذه الفيروسات الذي سبب خسائر فادحة علي مستوى العالم فيروس CIH أو كما أطلق علية فيروس تشر نوبل . و التغلب علي هذا النوع من الفيروسات في الوقت الحالي أصبح أمراً ممكناً ، فمعظم اللوحات الأم الحديثة نجد بها إمكانية تسمح للمستخدم بأن يتحكم في السماح لنظام التشغيل بكتابة أو تعديل ملفات أل FAT ، حيث تقوم اللوحة الأم بإظهار رسالة تفيد بأن أحد البرامج يرغب في تعديل البيانات المخزنة في منطقة Boot Record Area و تسأل المستخدم إذا كان يرغب في السماح بإجراء هذا التعديل أم لا ، فإذا كان المستخدم لا يقوم بأي عملية تستدعي أن يقوم نظام التشغيل بتعديل هذه البيانات ( مثلا في حالة عمل Format للقرص الصلب لابد و أن يتم تعديل هذه البيانات ) ، فلا يجب السماح بإجراء هذه التعديلات
ب- الفيروسات التي تصيب الذاكرة
ملحوظة ليس بالضرورة أن يكون توقف الحاسب بسبب وجود فيروس و إنما هناك العديد من الأسباب يمكن أن تؤدي إلي توقف الحاسب ، و منها مثلاً عدم كفاءة الذاكرة بالنسبة لحجم البرامج التي يستخدمها الحاسب، أو عدم كفاءة الذاكرة الخاصة بكارت الشاشة
ج- الفيروسات الكامنة
هذا النوع من الفيروسات يعتبر اشتقاق من نوعية الفيروسات المقيمة في الذاكرة ، ففكرة عمل برنامج الفيروس تقوم علي تحميل جزء صغير من البرنامج داخل ذاكرة الحاسب بحيث يستغل أقل مساحة ممكنة من الذاكرة ، أما بقية برنامج الفيروس فيتم كتابته داخل الملف المصاب أو علي الأسطوانة الصلبة مباشرة ، و يظل برنامج الفيروس في وضع خمول دون القيام بأي نشاط و دون أن يشعر به المستخدم حتى يتحقق شرط معين ، و بمجرد تحقق هذا الشرط يقوم الجزء الذي تم تحمليه في الذاكرة من برنامج الفيروس بإستدعاء باقي البرنامج و تنفيذ المهام المصمم من أجلها ، و من أشهر هذه الفيروسات ، الفيروس الإسرائيلي ، حيث ظهر هذا الفيروس خلال الثمانينات و أدي إلى إحداث خسائر خاصة في الولايات المتحدة ، حيث صمم هذا الفيروس بحيث يصيب أجهزة الحاسب بالكيفية التي ذكرناها ثم يظل كامناً حتى يتحقق شرط تنشيط البرنامج ، و الذي صمم علي تنشيط برنامج الفيروس في أي يوم جمعة يتوافق مع اليوم الثالث عشر من الشهر ، فعند حدوث هذا التوافق يبدأ الفيروس نشاطه و يقوم بإلغاء الملفات الموجودة علي القرص الصلب . و أغلب هذه الفيروسات يعتمد علي وجود شرط زمني حتى يبدأ نشاطه ، و بالتالي إذا إستطعنا أن نتعرف علي هذا الشرط نستطيع تلافي نشاط الفيروس ، كما حدث مع أحد الإصدارات من فيروس CIH حيث أنه كان مصمماً بأن ينشط في السادس و العشرين من شهر فبراير من أي عام ، و بالتالي إذا لم نقم بتشغيل الحاسب في هذا اليوم أو حتى قمنا بتقديم أو تأخير ساعة الحاسب لإستطعنا تلافي هذا الفيروس بأسلوب بسيط و دون حدوث أي ضرر للحاسب
د – فيروسات الشبكة العنكبوتية
و هي أنواع الفيروسات التي تنتقل من خلال برامج البريد الإلكتروني ، و فكرة عمل هذا النوع من الفيروسات تقوم علي استخدام عناوين البريد التي يقوم المستخدم بتسجيلها علي الحاسب حتى يسهل عملية إرسال البريد الإلكتروني ، حيث يقوم مصمم الفيروس بزرع الفيروس داخل رسالة في شكل ملف ملحق بالرسالة ، ويقوم بإرسال هذه الرسالة المصابة إلي مجموعة من الأشخاص الذي يقوم بالحصول علي عناوين البريد الخاصة بهم بشكل عشوائي أو مدبر ، و بمجرد أن يقوم الشخص الذي تصله الرسالة بفتح الملف الملحق بها تحدث الإصابة بالعدوى ، وهذا النوع من برامج الفيروس يكون له أكثر من مهمة ، فأول ما يقوم به هو الحصول علي عناوين البريد المخزنة علي الحاسب المصاب ، ثم يقوم بإرسال نفس الرسالة المصابة إلي هذه العناوين ، مما يضمن إستمرار و إنتشار هذا الفيروس خلال أوسع نطاق ممكن ، أما بقية المهام الأخرى فتتعلق بالجهاز المصاب نفسه ، فبمجرد إستخدام الحاسب في إرسال الرسائل المصابة تنتهي مهمة الجهاز المصاب بالنسبة للفيروس ، و بالتالي تبدأ المهام التخريبية علي الحاسب المصاب ، و تكمن خطورة هذا النوع من الفيروسات أن الرسائل التي تصل تكون من أشخاص نعرفهم و بالتالي لا يكون هناك شك من مثل هذه الرسائل ، و التغلب علي هذا النوع من الفيروسات يكون باستخدام أحد البرامج المضادة للفيروسات التي لها القدرة علي العمل من خلال شبكة المعلومات أو باستخدام البريد الذي يتم تأمينه باستخدام برامج التشفير ، و الآن و بعد أن تعرفنا علي أهم أنواع الفيروسات التي يمكن أن تصيب الحاسب ، لابد و أن نتعرف علي أهم المظاهر التي يمكن من خلالها معرفة إصابة الحاسب بفيروس معين
زيادة الوقت اللازم لتنفيذ بعض العمليات عن الوقت المعتاد
تأخر في تحميل البرامج إلي ذاكرة الحاسب ، وعدم تشغيلها بالكفاءة المعتادة
ظهور رسائل تفيد بأنه لا توجد ذاكرة كافية لتشغيل البرامج ، بالرغم من أن الذاكرة المتاحة كافية
ظهور رسائل تفيد بأنه لا يوجد تطابق بين المساحة الخالية الموجودة علي القرص الصلب و التي تم تخزينها في ملفات FAT ، و المساحة الحقيقية الخالية علي القرص الصلب ، و ذلك عند إستخدام برنامج scan disk . و عادة ما تكون هذه الرسالة بسبب أحد أنواع فيروس CIH و الذي لا تستطيع معظم برامج مضادات الفيروسات التعرف علية ، فإذا ظهرت هذه الرسالة ، قم بعمل نسخ إحتياطية للملفات المهمة لأنه بمرور الوقت سيتم تدمير ملفات FAT علي القرص الصلب و بالتالي عدم قدرة نظام التشغيل علي التعامل مع البيانات . ويمكن بإستخدام أحد برامج مضادات الفيروسات الجيدة مثل PC-Cillin الحصول علي نسخة من ملفات FAT فإذا حدث تعديل أو حذف لهذه الملفات أمكن إسترجاعها مرة أخرى
عدم القدرة علي التعامل مع نظام التشغيل بشكل ملائم بالرغم من أنه لا توجد أسباب واضحة لذلك . ( يمكن أن يكون الخلل في نظام التشغيل ناتج عن العديد من الأسباب بخلاف الفيروسات ، مثل تنصيب مجموعة كبيرة من البرامج التي تستخدم نفس الملفات أو التي تقوم بتعديل بعض البيانات الهامة في الملفات الأساسية لنظام التشغيل )
البرامج الموجودة علي القرص الصلب تشغل مساحة أكبر أو أقل من مساحتها الطبيعية
وجود تناقص مستمر في المساحة الخالية علي القرص الصلب بالرغم من عدم إضافة أي برامج جديدة
وجود بعض الرموز الغير مفهومة أثناء عملية الطباعة و التي تظهر في الورقة المطبوعة ، وتكون عادة في أعلي أو أسفل الورقة المطبوعة
عدم القدرة علي التعامل مع بعض الوحدات الطرفية بالحاسب مثل CD-ROM أو Floppy Drive أو الطابعة ، مع التأكد من أنه لا يوجد سبب واضح لتوقف هذه الوحدات
كيفية التعامل مع الفيروسات
عندما يصيب الفيروس الحاسب ، فإن أول ما يجب القيام به هو إستخدام أحد برامج مضادات الفيروسات و التي يتم تحديثها بإستخدام شبكة المعلومات بشكل دوي حتى تستطيع التعرف علي أحدث أنواع الفيروسات ، و في حالة الشك بأن أحد الملفات مصاب بفيروس معين ولكن البرنامج المضاد للفيروسات لا يستطيع التعرف علية فيمكن إرسال هذا الملف إلى الشركة المنتجة للبرنامج المضاد للفيروسات حتى يتم الكشف عليه ، وفي حالة الإصابة الفعلية لها الملف ، تقوم الشركة بإرسال مضاد لهذا الفيروس حتى يستطيع المستخدم القضاء علي الفيروس ، و من برامج مضادات الفيروسات التي يوجد بها هذه الإمكانية برنامج Norton Anti Virus ، و للأسف الشديد لا يوجد الكثير مما يمكن أن يقوم به المستخدم في حالة إكتشاف وجود الفيروس بخلاف إستخدام مضادات الفيروسات ، و لذلك فإن وجود نسخ احتياطية من الملفات المهمة يعد أمر ضروري ، ويفضل أن يتم عمل هذه النسخ علي أقراص مدمجة و ليس أقراص مرنة لضمان سلامتها و عدم تعرضها للتلف السريع