holly_smoke
10-02-2001, 07:43 PM
أخطر من "تشيرنوبل"!
"دودة" شرهة تلتهم بيانات الشركات العالمية
يرى الكثير من الباحثين في مجال الحماية من الفيروسات والاختراق hacking، أن سعي وسائل الإعلام وراء السبق الصحفي، يجعلها تبالغ أحياناً، في وصف خطورة بعض الفيروسات التي تنتشر من حينٍ إلى آخر، وتعظيم مبرمجي هذه الفيروسات، ما يشجع الكثيرين منهم، على إنتاج المزيد من الفيروسات الجديدة، جرياً وراء الشهرة الإعلامية. فمبرمج الفيروسات، كما هو معروف، إنسان يتمتع بذكاء شديد، ويعاني في الوقت ذاته، من مرضٍ نفسي، ويهدف من وراء إنشاء الفيروسات ونشرها، إما إلى الشهرة، أو إلى رؤية العالم يعاني من الخسائر بسببه!
فبعد الشهرة الواسعة التي منحها الإعلام لديفيد سميث، مبتكر فيروس ميليسا، دمر فيروس تشيرنوبل كمية كبيرة من البيانات في مختلف أنحاء المعمورة، وتابع العالم ملاحقة السلطات المختصة لمبتكره، حتى توصلت إلى تشين إنج هاو، التلميذ في إحدى الجامعات التايوانية. وأطلقت صفارات الإنذار في "إسرائيل"، شهر يونيو/حزيران الماضي، معلنة ظهور برنامج خبيث جديد، يصنف من فصيلة "الدودة"worm. وقد اكتشِفت هذه الدودة بعدة أسماء، منها TROJ_EXPLORE.ZIP، وI-Worm.ZippedFiles. أما أكثر أسمائها انتشاراً، فهو Worm.ExploreZip. ظهرت أول حالة إصابة بهذه الدودة في إسرائيل، في السابع من شهر يونيو/حزيران الماضي، ثم انتشرت بشكلٍ واسع، خلال أسبوعٍ واحد، في كل من ألمانيا، وفرنسا، والنرويج، وجمهورية التشيك، والولايات المتحدة.
ويصنف الخبراء الدودة Worm.ExploreZip، بأنها أخطر من فيروسي ميليسا وتشيرنوبل. ووصفها المسؤولون في شركة Networks Associates، المالكة لبرنامج McAfee AntiVirus، الأشهر في عالم محاربة الفيروسات، بأنها "أول محاولة ناجحة للمزج بين قدرة الانتشار الواسعة لفيروس ميليسا، والقوة التدميرية الكبيرة لفيروس تشيرنوبل". فقد أصابت عشرات الآلاف من الأجهزة، خلال الأسبوع الأول من إطلاقها، وأدى ذلك، إلى إعلان العديد من الشركات الكبرى في العالم، مثل Microsoft Corp.، وIntel، وAT&T، وElectronic Arts و Boeing، وGeneral Electric اكتشاف إصابة أجهزتها بالدودة، وتدمير العديد من الملفات المهمة، خلال الأسبوع الأول من ظهورها. وأغلقت تلك الشركات مزودات البريد الإلكتروني فيها، تجنباً لمزيد من التدمير والانتشار في أجهزتها.
كيف تعمل؟
يبلغ حجم الملف المشكل للدودة Worm.ExploreZip، 210432 بايت، وهي تعمل على تغيير إعدادات البرامج الداعمة لواجهة برمجة تطبيقات التراسل MAPI, messaging application programming interface، كالبرامج الخاصة بالبريد الإلكتروني، من شركة مايكروسوفت، مثل Outlook، وOutlookExpress، وExchange. ثم ترسل الدودة رداً Reply على كل رسالة غير مقروءةUnRead في علبة الواردInBox لهذا البرنامج، مضمنةً ذاتها كملفٍ مرفقAttachment بهذه الرسالة، باسم zipped_files.exe، بحيث تتضمن رسالة البريد الإلكتروني العبارات "الودودة" التالية:
Hi اسم المستقبل!
I received your email and I shall send you a reply ASAP.
Till then, take a look at the attached zipped docs.
bye أو sincerely اسم المستقبل
وتظهر عند تشغيل هذا الملف المرفق، رسالة خطأ تتضمن ما يلي:
Cannot open file: it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help.
وتشكل الدودة في الوقت ذاته، ملفاً باسم Explore.exe ، يخزن في المسار c:\windows\system، وآخر باسم _setup.exe في المسار c:\windows، ثم يعدل سجل النظامWindows Registry، وملف Win.ini، بحيث يتم تحميل الدودة في الذاكرة تلقائياً عند إقلاع الجهاز. ولا تكتفي الدودة بذلك، بل تفحص جميع سواقات الجهاز، بما فيها سواقات الشبكة المعرفة في النظام، وتنسخ نفسها إلى أي سواقة تحتوي على نظام التشغيل ويندوز. وتعدل بعد ذلك، محتويات ملف WIN.INI، لتبدأ عملية تخريب للملفات من الامتداد .xls - .ppt - .doc - .asm - .cpp - .c - .h، بإنشاء ملف جديد بالاسم ذاته، وبطول 0 بايت، للملف الذي تحاول تدميره، وحفظه فوق الملف الأصلي. ويعني ذلك عملياً، مسح الملف، وعدم إمكانية استرجاعه.
من المعرض للإصابة؟
صممت هذه الدودة، للعمل في بيئة windows 32-bit، أي أنها لا تستطيع العمل إلا مع نظم التشغيل Windows98 و95، و Windows NT. لكن يمكنها، مع ذلك، العمل في بيئة Mac، في حال كان الجهاز يستخدم محاكي PC، أو إنه موصول إلى شبكة مشتركة تتضمن أجهزة PC وMac. لكن عمليات تخريب الملفات، تتم إذا كان جهاز Mac، يدعم ويستخدم امتدادات ملفات MS Office، وملفات شيفرات لغتي C، وAssembly، وهي الامتدادات التي تصيبها الدودة.
طرق العلاج
إذا أصابت الدودة Worm.ExploreZip جهازك، فيمكنك إزالتها يدوياً، باتباع الخطوات التالية:
أولاً: بالنسبة لمستخدمي Windows95 و98:
افتح الملف c:\WINDOWS\WIN.INI باستخدام أحد برامج تحرير النصوص، مثل المفكرةNotePad، وامسح السطر run= C:\WINDOWS\SYSTEM\EXPLORE.EXE منه، ثم احفظ الملف.
أعد تشغيل ويندوز، باستخدام الخيار"إعادة تشغيل ويندوز في نظام MS-DOS" من قائمة "إبدأ"، فتزيل البرنامج explore.exe من ذاكرة النظام.
أدخل الأمر "exit" في MS-DOS، لإعادة تشغيل الجهاز في نظام ويندوز، بدون تحميل البرنامج إلى الذاكرة.
استخدم برنامج البحث في ويندوز، لإيجاد جميع النسخ الموجودة على قرصك الصلب، من الملف explore.exe، ثم امسحها جميعها.
ثانياً: بالنسبة لمستخدمي Windows NT:
-استخدم برنامجREGEDIT -وليس REGEDIT32- وابحث عن الفرعhive التالي: HKEY_CURRENT_USER\Software\Microsoft\WindowsNT
\CurrentVersion\Windows، ثم امسح المفتاحrun=C:\\WINNT\\System32\\Explore.exe منه.
-عد تشغيل Windows NT.
- ابحث من أولاً عن جميع نسخ الملف explore.exe، وامسحها.
-وإذا كنت متصلاً بإنترنت، يمكنك جلب برامج خاصة، تؤدي الخطوات السابقة تلقائياً، لإزالة الدودة Worm.ExploreZip من النظام، وذلك من المواقع :
من شركة McAfee
http://download.mcafee.com/products/extrafiles/killbot.exe
من شركة Norton
ftp://ftp.symantec.com/public/english_us_canada/antivirus_definitions/norton_antivirus/kill_ez.exe
وللحماية من هذه الدودة، وأي فيروس آخر معروف، يمكنك جلب أحدث الإصدارات التجريبية المجانية من مضادات الفيروسات، من المواقع التالية:
http://download.mcafee.com/eval/evaluate.asp#anti-virus
http://www.symantec.com/nav/index.html
http://www.drsolomon.com/download/home
تمزج الدودة Worm.ExploreZip، بين فيروسي مليسا وتشيرنوبل، ويعتقد المحللون التقنيون، أن مطوري الفيروسات بدأوا بالاستفادة من أخطاء بعضهم البعض، واقتباس الأفكار وتطويرها، أو دمجها مع أفكار أخرى، لتشكيل فيروسات أقوى وأكثر تطوراً. وينذر هذا الأمر، بمزيدٍ من الفيروسات القوية، والخطيرة، لذا ينصح دوماً بجلب أحدث الإصدارات من البرامج الوقائية من أكثر من شركة واحدة مكافحة للفيروسات، وفحص الملفات الواردة عبر البريد الإلكتروني، دائماً، قبل فتحها.
الفيروسvirus والدودةworm وحصان طروادةtrojan horse!!!
لا، ليس هذا اسم واحدة من حكايات "كليلة ودمنة"، بل هي أسماء متعارف عليها للبرامج الخبيثة التي تصيب الحواسيب، والتي يطلق على الأنواع الثلاثة منها، تجاوزاً، اسم "فيروس"!
أيوجد فرق، سواء أطلقنا على Worm.ExploreZip، تسمية فيروس، أم دودة؟! يوجد، بالتأكيد! فالتصنيف الصحيح لما يسمى البرامج الخبيثة، هو الخطوة الأولى لإيجاد العلاج الصحيح لها، وهذا الأمر متبع كذلك في مجال الطب، في التفريق بين الأمراض الفيروسية والبكتيرية، من أجل تشخيص العلاج المناسب. ونعرض في ما يلي، شرحاً مبسطاً، للفرق بين كل من الأنواع الثلاثة من هذه البرامج:
حصان طروادةTrojan Horse
يعتبر حصان طروادة أكثر أنواع البرامج الخبيثة بدائيةً، وأهم ما يميزه عن النوعين الآخرين، هو أداؤه العمل المحدد له، بدون أن يتناسخ تلقائياً، أي أنه لا ينتقل إلا بتعمد المستخدم نسخ الملف الذي يتضمنه، من جهاز إلى آخر. وتعمل معظم البرامج من نوع حصان طروادة، بالطريقة ذاتها التي استخدم بها حصان طروادة المذكور في الأسطورة الإغريقية الشهيرة. فهي تسمح لمبرمجها الأصلي التطفل على الجهاز المصاب عن طريق الشبكة، وتنفيذ معظم العمليات العادية، وقد ينفذ حصان طروادة، أحياناً، أوامر برمجية معينة، كتشغيل ملفات معينة، أو إزالتها.
الفيروسVirus
ينسخ هذا النوع من البرامج الخبيثة نفسه في جسم الملف المصاب، تماماً كما يفعل الفيروس الحقيقي في جسم الإنسان. وكلما تم استدعاء الملف أو تشغيله، يتحقق الفيروس من البيئة المحيطة، ثم يفحص تحقق شروطٍ محددة، ليبدأ في حال تحققها بتنفيذ عمليات معينة، لها، في أغلب الأحيان، طابع تخريبي. وينسخ الفيروس نفسه على أي ملف له هيئة موافقة، يجري تشغيله في الجهاز.
الدودةWorm
يتكاثر هذا النوع من البرامج الخبيثة، بنسخ نفسه في الذاكرة، والانتقال عبر الشبكات. والأمر الذي يميز الدودة عن الفيروس، أنها لا تجري أي تعديل على الملفات الأصلية خلال تكاثرها، عبر البنيات الشبكية. وتحتوي الدودة، كباقي أنواع البرامج الخبيثة، على أوامر معينة في نص الشيفرة التي كتبت بها، تنفَّذ عند تحقق شروطٍ معينة. تستخدم الدودة الخصائص التلقائية الخفية في نظم التشغيل، لتنجز المهمات المحددة لها. وتكتشف الدودة، عادةً، بعد تناسخها بشكلٍ كبير في الذاكرة، مما يؤدي إلى بطء شديد في عمل النظام، أو الشبكة.
"دودة" شرهة تلتهم بيانات الشركات العالمية
يرى الكثير من الباحثين في مجال الحماية من الفيروسات والاختراق hacking، أن سعي وسائل الإعلام وراء السبق الصحفي، يجعلها تبالغ أحياناً، في وصف خطورة بعض الفيروسات التي تنتشر من حينٍ إلى آخر، وتعظيم مبرمجي هذه الفيروسات، ما يشجع الكثيرين منهم، على إنتاج المزيد من الفيروسات الجديدة، جرياً وراء الشهرة الإعلامية. فمبرمج الفيروسات، كما هو معروف، إنسان يتمتع بذكاء شديد، ويعاني في الوقت ذاته، من مرضٍ نفسي، ويهدف من وراء إنشاء الفيروسات ونشرها، إما إلى الشهرة، أو إلى رؤية العالم يعاني من الخسائر بسببه!
فبعد الشهرة الواسعة التي منحها الإعلام لديفيد سميث، مبتكر فيروس ميليسا، دمر فيروس تشيرنوبل كمية كبيرة من البيانات في مختلف أنحاء المعمورة، وتابع العالم ملاحقة السلطات المختصة لمبتكره، حتى توصلت إلى تشين إنج هاو، التلميذ في إحدى الجامعات التايوانية. وأطلقت صفارات الإنذار في "إسرائيل"، شهر يونيو/حزيران الماضي، معلنة ظهور برنامج خبيث جديد، يصنف من فصيلة "الدودة"worm. وقد اكتشِفت هذه الدودة بعدة أسماء، منها TROJ_EXPLORE.ZIP، وI-Worm.ZippedFiles. أما أكثر أسمائها انتشاراً، فهو Worm.ExploreZip. ظهرت أول حالة إصابة بهذه الدودة في إسرائيل، في السابع من شهر يونيو/حزيران الماضي، ثم انتشرت بشكلٍ واسع، خلال أسبوعٍ واحد، في كل من ألمانيا، وفرنسا، والنرويج، وجمهورية التشيك، والولايات المتحدة.
ويصنف الخبراء الدودة Worm.ExploreZip، بأنها أخطر من فيروسي ميليسا وتشيرنوبل. ووصفها المسؤولون في شركة Networks Associates، المالكة لبرنامج McAfee AntiVirus، الأشهر في عالم محاربة الفيروسات، بأنها "أول محاولة ناجحة للمزج بين قدرة الانتشار الواسعة لفيروس ميليسا، والقوة التدميرية الكبيرة لفيروس تشيرنوبل". فقد أصابت عشرات الآلاف من الأجهزة، خلال الأسبوع الأول من إطلاقها، وأدى ذلك، إلى إعلان العديد من الشركات الكبرى في العالم، مثل Microsoft Corp.، وIntel، وAT&T، وElectronic Arts و Boeing، وGeneral Electric اكتشاف إصابة أجهزتها بالدودة، وتدمير العديد من الملفات المهمة، خلال الأسبوع الأول من ظهورها. وأغلقت تلك الشركات مزودات البريد الإلكتروني فيها، تجنباً لمزيد من التدمير والانتشار في أجهزتها.
كيف تعمل؟
يبلغ حجم الملف المشكل للدودة Worm.ExploreZip، 210432 بايت، وهي تعمل على تغيير إعدادات البرامج الداعمة لواجهة برمجة تطبيقات التراسل MAPI, messaging application programming interface، كالبرامج الخاصة بالبريد الإلكتروني، من شركة مايكروسوفت، مثل Outlook، وOutlookExpress، وExchange. ثم ترسل الدودة رداً Reply على كل رسالة غير مقروءةUnRead في علبة الواردInBox لهذا البرنامج، مضمنةً ذاتها كملفٍ مرفقAttachment بهذه الرسالة، باسم zipped_files.exe، بحيث تتضمن رسالة البريد الإلكتروني العبارات "الودودة" التالية:
Hi اسم المستقبل!
I received your email and I shall send you a reply ASAP.
Till then, take a look at the attached zipped docs.
bye أو sincerely اسم المستقبل
وتظهر عند تشغيل هذا الملف المرفق، رسالة خطأ تتضمن ما يلي:
Cannot open file: it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help.
وتشكل الدودة في الوقت ذاته، ملفاً باسم Explore.exe ، يخزن في المسار c:\windows\system، وآخر باسم _setup.exe في المسار c:\windows، ثم يعدل سجل النظامWindows Registry، وملف Win.ini، بحيث يتم تحميل الدودة في الذاكرة تلقائياً عند إقلاع الجهاز. ولا تكتفي الدودة بذلك، بل تفحص جميع سواقات الجهاز، بما فيها سواقات الشبكة المعرفة في النظام، وتنسخ نفسها إلى أي سواقة تحتوي على نظام التشغيل ويندوز. وتعدل بعد ذلك، محتويات ملف WIN.INI، لتبدأ عملية تخريب للملفات من الامتداد .xls - .ppt - .doc - .asm - .cpp - .c - .h، بإنشاء ملف جديد بالاسم ذاته، وبطول 0 بايت، للملف الذي تحاول تدميره، وحفظه فوق الملف الأصلي. ويعني ذلك عملياً، مسح الملف، وعدم إمكانية استرجاعه.
من المعرض للإصابة؟
صممت هذه الدودة، للعمل في بيئة windows 32-bit، أي أنها لا تستطيع العمل إلا مع نظم التشغيل Windows98 و95، و Windows NT. لكن يمكنها، مع ذلك، العمل في بيئة Mac، في حال كان الجهاز يستخدم محاكي PC، أو إنه موصول إلى شبكة مشتركة تتضمن أجهزة PC وMac. لكن عمليات تخريب الملفات، تتم إذا كان جهاز Mac، يدعم ويستخدم امتدادات ملفات MS Office، وملفات شيفرات لغتي C، وAssembly، وهي الامتدادات التي تصيبها الدودة.
طرق العلاج
إذا أصابت الدودة Worm.ExploreZip جهازك، فيمكنك إزالتها يدوياً، باتباع الخطوات التالية:
أولاً: بالنسبة لمستخدمي Windows95 و98:
افتح الملف c:\WINDOWS\WIN.INI باستخدام أحد برامج تحرير النصوص، مثل المفكرةNotePad، وامسح السطر run= C:\WINDOWS\SYSTEM\EXPLORE.EXE منه، ثم احفظ الملف.
أعد تشغيل ويندوز، باستخدام الخيار"إعادة تشغيل ويندوز في نظام MS-DOS" من قائمة "إبدأ"، فتزيل البرنامج explore.exe من ذاكرة النظام.
أدخل الأمر "exit" في MS-DOS، لإعادة تشغيل الجهاز في نظام ويندوز، بدون تحميل البرنامج إلى الذاكرة.
استخدم برنامج البحث في ويندوز، لإيجاد جميع النسخ الموجودة على قرصك الصلب، من الملف explore.exe، ثم امسحها جميعها.
ثانياً: بالنسبة لمستخدمي Windows NT:
-استخدم برنامجREGEDIT -وليس REGEDIT32- وابحث عن الفرعhive التالي: HKEY_CURRENT_USER\Software\Microsoft\WindowsNT
\CurrentVersion\Windows، ثم امسح المفتاحrun=C:\\WINNT\\System32\\Explore.exe منه.
-عد تشغيل Windows NT.
- ابحث من أولاً عن جميع نسخ الملف explore.exe، وامسحها.
-وإذا كنت متصلاً بإنترنت، يمكنك جلب برامج خاصة، تؤدي الخطوات السابقة تلقائياً، لإزالة الدودة Worm.ExploreZip من النظام، وذلك من المواقع :
من شركة McAfee
http://download.mcafee.com/products/extrafiles/killbot.exe
من شركة Norton
ftp://ftp.symantec.com/public/english_us_canada/antivirus_definitions/norton_antivirus/kill_ez.exe
وللحماية من هذه الدودة، وأي فيروس آخر معروف، يمكنك جلب أحدث الإصدارات التجريبية المجانية من مضادات الفيروسات، من المواقع التالية:
http://download.mcafee.com/eval/evaluate.asp#anti-virus
http://www.symantec.com/nav/index.html
http://www.drsolomon.com/download/home
تمزج الدودة Worm.ExploreZip، بين فيروسي مليسا وتشيرنوبل، ويعتقد المحللون التقنيون، أن مطوري الفيروسات بدأوا بالاستفادة من أخطاء بعضهم البعض، واقتباس الأفكار وتطويرها، أو دمجها مع أفكار أخرى، لتشكيل فيروسات أقوى وأكثر تطوراً. وينذر هذا الأمر، بمزيدٍ من الفيروسات القوية، والخطيرة، لذا ينصح دوماً بجلب أحدث الإصدارات من البرامج الوقائية من أكثر من شركة واحدة مكافحة للفيروسات، وفحص الملفات الواردة عبر البريد الإلكتروني، دائماً، قبل فتحها.
الفيروسvirus والدودةworm وحصان طروادةtrojan horse!!!
لا، ليس هذا اسم واحدة من حكايات "كليلة ودمنة"، بل هي أسماء متعارف عليها للبرامج الخبيثة التي تصيب الحواسيب، والتي يطلق على الأنواع الثلاثة منها، تجاوزاً، اسم "فيروس"!
أيوجد فرق، سواء أطلقنا على Worm.ExploreZip، تسمية فيروس، أم دودة؟! يوجد، بالتأكيد! فالتصنيف الصحيح لما يسمى البرامج الخبيثة، هو الخطوة الأولى لإيجاد العلاج الصحيح لها، وهذا الأمر متبع كذلك في مجال الطب، في التفريق بين الأمراض الفيروسية والبكتيرية، من أجل تشخيص العلاج المناسب. ونعرض في ما يلي، شرحاً مبسطاً، للفرق بين كل من الأنواع الثلاثة من هذه البرامج:
حصان طروادةTrojan Horse
يعتبر حصان طروادة أكثر أنواع البرامج الخبيثة بدائيةً، وأهم ما يميزه عن النوعين الآخرين، هو أداؤه العمل المحدد له، بدون أن يتناسخ تلقائياً، أي أنه لا ينتقل إلا بتعمد المستخدم نسخ الملف الذي يتضمنه، من جهاز إلى آخر. وتعمل معظم البرامج من نوع حصان طروادة، بالطريقة ذاتها التي استخدم بها حصان طروادة المذكور في الأسطورة الإغريقية الشهيرة. فهي تسمح لمبرمجها الأصلي التطفل على الجهاز المصاب عن طريق الشبكة، وتنفيذ معظم العمليات العادية، وقد ينفذ حصان طروادة، أحياناً، أوامر برمجية معينة، كتشغيل ملفات معينة، أو إزالتها.
الفيروسVirus
ينسخ هذا النوع من البرامج الخبيثة نفسه في جسم الملف المصاب، تماماً كما يفعل الفيروس الحقيقي في جسم الإنسان. وكلما تم استدعاء الملف أو تشغيله، يتحقق الفيروس من البيئة المحيطة، ثم يفحص تحقق شروطٍ محددة، ليبدأ في حال تحققها بتنفيذ عمليات معينة، لها، في أغلب الأحيان، طابع تخريبي. وينسخ الفيروس نفسه على أي ملف له هيئة موافقة، يجري تشغيله في الجهاز.
الدودةWorm
يتكاثر هذا النوع من البرامج الخبيثة، بنسخ نفسه في الذاكرة، والانتقال عبر الشبكات. والأمر الذي يميز الدودة عن الفيروس، أنها لا تجري أي تعديل على الملفات الأصلية خلال تكاثرها، عبر البنيات الشبكية. وتحتوي الدودة، كباقي أنواع البرامج الخبيثة، على أوامر معينة في نص الشيفرة التي كتبت بها، تنفَّذ عند تحقق شروطٍ معينة. تستخدم الدودة الخصائص التلقائية الخفية في نظم التشغيل، لتنجز المهمات المحددة لها. وتكتشف الدودة، عادةً، بعد تناسخها بشكلٍ كبير في الذاكرة، مما يؤدي إلى بطء شديد في عمل النظام، أو الشبكة.