holly_smoke
10-02-2001, 07:31 PM
اختراق جديد في عالم الفيروسات
تمكن مؤلف فيروسات، مجهول الهوية، من إنشاء برنامج خبيث، من النوع "دودة" (worm)، يمكنه أن يتناسخ وينشر نفسه عبر الأجهزة التي يستخدم فيها أحد البرنامجين آوتلوك (Outlook)، أو آوتلوك إكسبرس (Outlook Express)، اللذان تنتجهما شركة مايكروسوفت.
ويبدو أن مؤلف هذا الفيروس، من محبي مسلسل (Seinfeld) الأمريكي، فأخذ منه اسم الفيروس، والطابع العام للنتائج التي يؤدي إليها. لكن، ما الجديد في هذا الفيروس؟
لا ضرورة لوجود ملفات مرفقة
تختلف هذه الدودة عن جميع أنواع الفيروسات التي تعامل معها مصممو برامج مكافحة الفيروسات، حتى يومنا هذا. فهي لا تتطلب، كغيرها من الفيروسات، وجود ملف مرفق (attachment) يحتوي على الفيروس، ضمن رسالة البريد الإلكتروني، ويكفي أن يفتح المستخدم نص الرسالة، ليبدأ نص برمجي (Script) بلغة فيجوال بيسيك، مضمّن في الرسالة، بإرفاق ذاته في "دفتر العناوين" (address book) الموجود ضمن برنامج آوتلوك، ثم إرسال رسالة إلى كل عنوان في تلك القائمة. ويتعرض مستخدمو برنامج آوتلوك إكسبرس للبريد الإلكتروني، إلى مخاطر أكبر من تلك التي يتعرض لها مستخدمو برنامج آوتلوك، حيث يكفي إظهار الرسالة ضمن نافذة العرض المسبق (preview) الفرعية، لتبدأ الدودة في استنساخ ذاتها، وإرسال الرسائل.
ويقول سال فيفروس، مدير تسويق قسم الدفاع الشامل ضد الفيروسات، في شركة Network Associates في كاليفورنيا: "عادة ما يُطمئن مصممو برامج الحماية من الفيروسات، زبائنهم، بأنهم في أمان من الفيروسات التي تنتقل عبر البريد الإلكتروني، طالما لم يتم تشغيل الملفات المرفقة.. لكن هذه القاعدة لم تعد صحيحة بعد الآن!".
صنّفت معظم الشركات المصممة لأنظمة مكافحة الفيروسات، دودة BubbleBoy، مع الفيروسات منخفضة الخطورة، ومن ضمن هذه الشركات، شركة Symantec، وNetwork Associates، وComputer Associates، وTrend Micro. ويعود السبب الرئيسي في هذا التصنيف المنخفض، إلى عدم احتواء الشيفرة المكونة للرسالة على أي جزء خبيث يمكنه إلحاق الأضرار بأجهزة المستخدمين. ومن الأسباب الأخرى.. عدم وصول أي بلاغ عن هذه الدودة، من أي مستخدم في العالم، فقد أُرسِلت من المؤلف مباشرة إلى شركات مكافحة الفيروسات، وإلى عدد من مواقع ويب، في الثامن من شهر نوفمبر/تشرين الثاني، في محاولة للفت الانتباه إلى شخص المؤلف.
خطر في الأفق
يخشى مصممو برامج مكافحة الفيروسات، من أن تكون هذه الدودة، نذيراً خطيراً. فقد أشارت الأبحاث التي طرحت في مؤتمر أقامته Virus Bulletin، في مدينة فانكوفر الكندية، في شهر أكتوبر/تشرين الأول الفائت، إلى توقعات حول إمكانية إنشاء برامج خبيثة شبيهة بدودة BubbleBoy.
ويقول دان شريدر، نائب رئيس التقنيات الحديثة في شركة Trend Micro: "انتشرت في الآونة الأخيرة، عدد من مواقع إنترنت، التي تشرح طرق إنشاء هذا النوع من البرامج. ولن يصعب على مؤلفي الفيروسات، إطلاق فيروس شبيه بدودة BubbleBoy، وقد يحتوي، هذه المرة، على شيفرة خبيثة ضمن نص برمجي بلغة فيجوال بيسيك. وهذا أمر مثير ومرعب في الوقت ذاته!". وأضاف جميع مصممو البرامج المضادة للفيروسات، تعريف هذه الدودة إلى لائحة الفيروسات التي تكشفها برامجهم، على الرغم من عدم انتشاره، وقلة خطورته.
تتطلب دودة BubbleBoy وجود الإصدارة الخامسة من المتصفح إنترنت إكسبلورر، بالإضافة إلى برنامج (Windows Scripting Host)، الموجود بصورة قياسية مع نظامي ويندوز98 وويندوز2000. ولا يمكن لهذه الدودة العمل مع نظام ويندوز إن.تي، أو ضمن الإعدادات القياسية لويندوز95. ويمكن إلغاء إمكانية عملها، بمجرد تحديد إعدادات "الأمان" (Security)، في "خيارات إنترنت" (Internet Options)، ضمن إكسبلورر 5، إلى أعلى مستوى لها.
وتوضح اختبارات شركة Network Associates، المنتجة لبرنامج McAfee AntiVirus، أن هذه الدودة لا تعمل حالياً إلا مع الإصدارتين الإنجليزية والإسبانية من ويندوز، ما يعني أن مستخدمي الإصدارة العربية في أمان منها.
طريقة عملها
لن يعلم المستخدم بإصابته بهذه الدودة، إلا بعد انطلاق أول رسالة بريد إلكتروني تحمل الشيفرة ذاتها. وتعمل الدودة عندها، على تغيير الاسم المسجل لمالك برنامج البريد الإلكتروني، إلى BubbleBoy، واسم الشركة إلى Vandelay Industries.
وتتضمن الرسائل التي تتسبب الدودة في إرسالها، جملة واحدة فقط، هي:
The BubbleBoy incident, pictures and sounds.
تستفيد دودة BubbleBoy، من ثغرة أمنية يتضمنها المتصفح إكسبلورر 5. وتسمح هذه الثغرة باستخدام بعض عناصر تحكم ActiveX، للوصول إلى موارد أجهزة مستخدمي هذا المتصفح، بدون علمهم. وقد اكتشفت هذه الثغرة في شهر أغسطس/آب الفائت، وطرحت مايكروسوفت في 31 من الشهر ذاته، برنامجاً تكفّل بسدها. ويمكنك جلب هذا البرنامج وتركيبه على المتصفح إكسبلورر 5، من الموقع التالي، الذي يتضمن، كذلك، برامج كفيلة بسد هذه الثغرة، لمختلف أنظمة مايكروسوفت الأخرى:
http://www.microsoft.com/security/Bulletins/ms99-032.asp
مستقبل الفيروسات
أكد الباحثون في مجال فيروسات الكمبيوتر، أن دودة BubbleBoy، تعتبر تأكيداً آخر، على أن تطور تقنيات مكافحة الفيروسات، تتلازم مع ازدياد خبرة ومستوى ذكاء مؤلفي الفيروسات، وخاصة في مجال الفيروسات المكتوبة باستخدام نصوص فيجوال بيسيك البرمجية (VBS).
ويؤكد نارندر مانجالام، مدير المنتجات الأمنية في شركة Computer Associates، في نيويورك: "لا تعتبر دودة BubbleBoy، بحد ذاتها، شديدة الخطورة، لكن الأمر الذي يثير الجميع فيها، هو أنها إثبات لمبدأ برمجي جديد في عالم الفيروسات!".
تمكن مؤلف فيروسات، مجهول الهوية، من إنشاء برنامج خبيث، من النوع "دودة" (worm)، يمكنه أن يتناسخ وينشر نفسه عبر الأجهزة التي يستخدم فيها أحد البرنامجين آوتلوك (Outlook)، أو آوتلوك إكسبرس (Outlook Express)، اللذان تنتجهما شركة مايكروسوفت.
ويبدو أن مؤلف هذا الفيروس، من محبي مسلسل (Seinfeld) الأمريكي، فأخذ منه اسم الفيروس، والطابع العام للنتائج التي يؤدي إليها. لكن، ما الجديد في هذا الفيروس؟
لا ضرورة لوجود ملفات مرفقة
تختلف هذه الدودة عن جميع أنواع الفيروسات التي تعامل معها مصممو برامج مكافحة الفيروسات، حتى يومنا هذا. فهي لا تتطلب، كغيرها من الفيروسات، وجود ملف مرفق (attachment) يحتوي على الفيروس، ضمن رسالة البريد الإلكتروني، ويكفي أن يفتح المستخدم نص الرسالة، ليبدأ نص برمجي (Script) بلغة فيجوال بيسيك، مضمّن في الرسالة، بإرفاق ذاته في "دفتر العناوين" (address book) الموجود ضمن برنامج آوتلوك، ثم إرسال رسالة إلى كل عنوان في تلك القائمة. ويتعرض مستخدمو برنامج آوتلوك إكسبرس للبريد الإلكتروني، إلى مخاطر أكبر من تلك التي يتعرض لها مستخدمو برنامج آوتلوك، حيث يكفي إظهار الرسالة ضمن نافذة العرض المسبق (preview) الفرعية، لتبدأ الدودة في استنساخ ذاتها، وإرسال الرسائل.
ويقول سال فيفروس، مدير تسويق قسم الدفاع الشامل ضد الفيروسات، في شركة Network Associates في كاليفورنيا: "عادة ما يُطمئن مصممو برامج الحماية من الفيروسات، زبائنهم، بأنهم في أمان من الفيروسات التي تنتقل عبر البريد الإلكتروني، طالما لم يتم تشغيل الملفات المرفقة.. لكن هذه القاعدة لم تعد صحيحة بعد الآن!".
صنّفت معظم الشركات المصممة لأنظمة مكافحة الفيروسات، دودة BubbleBoy، مع الفيروسات منخفضة الخطورة، ومن ضمن هذه الشركات، شركة Symantec، وNetwork Associates، وComputer Associates، وTrend Micro. ويعود السبب الرئيسي في هذا التصنيف المنخفض، إلى عدم احتواء الشيفرة المكونة للرسالة على أي جزء خبيث يمكنه إلحاق الأضرار بأجهزة المستخدمين. ومن الأسباب الأخرى.. عدم وصول أي بلاغ عن هذه الدودة، من أي مستخدم في العالم، فقد أُرسِلت من المؤلف مباشرة إلى شركات مكافحة الفيروسات، وإلى عدد من مواقع ويب، في الثامن من شهر نوفمبر/تشرين الثاني، في محاولة للفت الانتباه إلى شخص المؤلف.
خطر في الأفق
يخشى مصممو برامج مكافحة الفيروسات، من أن تكون هذه الدودة، نذيراً خطيراً. فقد أشارت الأبحاث التي طرحت في مؤتمر أقامته Virus Bulletin، في مدينة فانكوفر الكندية، في شهر أكتوبر/تشرين الأول الفائت، إلى توقعات حول إمكانية إنشاء برامج خبيثة شبيهة بدودة BubbleBoy.
ويقول دان شريدر، نائب رئيس التقنيات الحديثة في شركة Trend Micro: "انتشرت في الآونة الأخيرة، عدد من مواقع إنترنت، التي تشرح طرق إنشاء هذا النوع من البرامج. ولن يصعب على مؤلفي الفيروسات، إطلاق فيروس شبيه بدودة BubbleBoy، وقد يحتوي، هذه المرة، على شيفرة خبيثة ضمن نص برمجي بلغة فيجوال بيسيك. وهذا أمر مثير ومرعب في الوقت ذاته!". وأضاف جميع مصممو البرامج المضادة للفيروسات، تعريف هذه الدودة إلى لائحة الفيروسات التي تكشفها برامجهم، على الرغم من عدم انتشاره، وقلة خطورته.
تتطلب دودة BubbleBoy وجود الإصدارة الخامسة من المتصفح إنترنت إكسبلورر، بالإضافة إلى برنامج (Windows Scripting Host)، الموجود بصورة قياسية مع نظامي ويندوز98 وويندوز2000. ولا يمكن لهذه الدودة العمل مع نظام ويندوز إن.تي، أو ضمن الإعدادات القياسية لويندوز95. ويمكن إلغاء إمكانية عملها، بمجرد تحديد إعدادات "الأمان" (Security)، في "خيارات إنترنت" (Internet Options)، ضمن إكسبلورر 5، إلى أعلى مستوى لها.
وتوضح اختبارات شركة Network Associates، المنتجة لبرنامج McAfee AntiVirus، أن هذه الدودة لا تعمل حالياً إلا مع الإصدارتين الإنجليزية والإسبانية من ويندوز، ما يعني أن مستخدمي الإصدارة العربية في أمان منها.
طريقة عملها
لن يعلم المستخدم بإصابته بهذه الدودة، إلا بعد انطلاق أول رسالة بريد إلكتروني تحمل الشيفرة ذاتها. وتعمل الدودة عندها، على تغيير الاسم المسجل لمالك برنامج البريد الإلكتروني، إلى BubbleBoy، واسم الشركة إلى Vandelay Industries.
وتتضمن الرسائل التي تتسبب الدودة في إرسالها، جملة واحدة فقط، هي:
The BubbleBoy incident, pictures and sounds.
تستفيد دودة BubbleBoy، من ثغرة أمنية يتضمنها المتصفح إكسبلورر 5. وتسمح هذه الثغرة باستخدام بعض عناصر تحكم ActiveX، للوصول إلى موارد أجهزة مستخدمي هذا المتصفح، بدون علمهم. وقد اكتشفت هذه الثغرة في شهر أغسطس/آب الفائت، وطرحت مايكروسوفت في 31 من الشهر ذاته، برنامجاً تكفّل بسدها. ويمكنك جلب هذا البرنامج وتركيبه على المتصفح إكسبلورر 5، من الموقع التالي، الذي يتضمن، كذلك، برامج كفيلة بسد هذه الثغرة، لمختلف أنظمة مايكروسوفت الأخرى:
http://www.microsoft.com/security/Bulletins/ms99-032.asp
مستقبل الفيروسات
أكد الباحثون في مجال فيروسات الكمبيوتر، أن دودة BubbleBoy، تعتبر تأكيداً آخر، على أن تطور تقنيات مكافحة الفيروسات، تتلازم مع ازدياد خبرة ومستوى ذكاء مؤلفي الفيروسات، وخاصة في مجال الفيروسات المكتوبة باستخدام نصوص فيجوال بيسيك البرمجية (VBS).
ويؤكد نارندر مانجالام، مدير المنتجات الأمنية في شركة Computer Associates، في نيويورك: "لا تعتبر دودة BubbleBoy، بحد ذاتها، شديدة الخطورة، لكن الأمر الذي يثير الجميع فيها، هو أنها إثبات لمبدأ برمجي جديد في عالم الفيروسات!".