برامج الحماية الوهمية والضارة
في الآونة الأخيرة كثر استعمال الكثير من الكلمات من قبيل السبايوورات و الديدان وغيرها من أسماء البرامج الضارة، يحوي الإنترنت عدد خيالي من البرامج الغير مرغوب بها، والتي تسمى بصفة عامة البرامج الضارة، تحت هذا الإسم تختبئ العديد من العائلات التي تختلف اختلافا تاما في ما بينها سواء من ناحية الأهداف أو في طريقة العمل.بإذن الله سأحاول شرح هذه الأنواع لرؤية أوضح في هذه الغابةأنوه إلى أن هذا الشرح قابل للنقاش خصوصا في تسميات هذه البرامج الضارة، وذلك لأنني نويت بعون الله إعطاء بعض منها أسماء عربية بدلا من إتباع الغرب في تسمياته، ولا أعلم هل لدي الحق في هذا أم لا ومن أجل هذا أنتظر تعليقاتكم.Spywares المتجسسات:والتي تهدف إلى معرفة نشاطك وتتبع حركاتك في الجهاز المصاب، ثم إرسال هذه الحزمة من المعلومات للاستفادة منها بشكل من الأشكال. هذه المعلومات يمكن أن تكون عبارة عن:العبارات المبحوث عنها عبر محركات البحث.الموقع التي تقوم بزيارتها.البضائع التي تشتريها عبر الإنترنت.معلومات الشراء عبر الإنترنت (أرقام بطاقة التأمين، رقم الحساب، كلمات السر الخاصة بال )أو معلومات الشخصية الخاصة بك (الإسم، السن، المهنة)غالبا ما يتم تثبيت هذا النوع من البرامج الضارة بالموازاة مع تثبيت إحدى البرامج المجانية، بحيث أصبح الكثير من مبرمجي هذه الأخيرة يستند على هذه المتجسسات للحصول على المال وذلك ببيع حزمة المعلومات المجموعة من الأجهزة المصابة إلى شركات مختصة تستطيع تحليل هذه الأخيرة واستعمالها في ما يساهم في تطوير منتجاتها.أمثلة للبرامج المجانية التي تثبيت الكثير من هذه المتجسسات:Kazaa والذي يحقن في النظام المتجسس Cydoor DivX إلا النسخ المدفوعة منه.برامج الطابعات HP والتي اتضح أنها ترسل رسائل مشفرة للموقع الأم عند كل طباعة.أيضا:KaZaAiMeshGet RightGo!ZillaDownload AcceleratorCute FTPPK ZipSpyware SecureBabylon Translator هذه المتجسسات ليست بالضرورة غير قانونية، وذلك لكون المستعمل قد وافق على تثبيتها وذلك بالموافقة على شروط استعمال البرنامج المجاني المرافق، وبما أن جل مستعملي البرامج لا يقرؤون هذه الشروط بالكامل، فأغلبهم لا يعلم بأنه يتم التجسس على كل تحركاته عند الاتصال بالإنترنت.هناك أضرار أخرى لهذه الفئة من البرامج الضارة غير التجسس على معلوماتنا الخاصة وهي :استهلاك ذاكرة الجهاز (بطء)استهلاك المساحة الفارغة من الأقراص الصلبة (بطء)التأثير على البرامج الأخرى (أخطاء النظام)تحت هذا الإسم تدخل عائلتان كبيرتان :Keyloggers المدونات :أو مسجلات ضغطات أزرار لوحة المفاتيح، تقوم هذه البرامج الضارة بتسجيل كل ما تكتبه بما في ذلك كلمات السر التي تستعملها وأرقام بطاقات الائتمان وحفظه في ملف خاص (غالبا ما يكون مشفر) ثم إرساله إلى صانع البرنامج الضار بحيث يفك شفرته ويستخرج منه المعلومات التي كان يستهدفها.أمثلة:Net SpyReal SpyPerfect KeyloggerKeylogger ProDreamscape KeyloggerGhost KeyloggerI-SpySim KeyloggerSimred KeyloggerAdware البرامج الإعلانية :غلبا ما تكون هذه الفئة غير مضرة إلى حد ما، فهي تقوم فقط بتغيير صفحة البداية للمتصفحات وتحويلها إلى موقع إعلاني، إضافة لوحة بحث في أعلى المتصفحات لإرشاد المستخدم إلى مواقع محددة كيفما كانت عبارة البحث، أي أن هدفها ينحصر في إظهار الإعلانات، ويمكن أن يتعدى ذلك بسرقة بعض معلوماتك الشخصية كعناوين المواقع التي تزورها، العبارات التي تبحث عنها في محركات البحث ثم حفظ هذه المعلومات في ملف خاص وإرساله إلى جهات مختصة تقوم باستعماله في تطوير وسائلهم الإعلانية واستعمال البرنامج ألإشهاري نفسه ليظهر لك إعلانات تناسب اهتماماتك.أمثلة: Cool Web Search( الأكثر شهرة)
EuniverseXupiterAbout : blankMirarDialers المتصلات :المتصل هو برنامج خبيث قادر على إجراء اتصال من خلال المودم الخاص بك على حسابك، هذا البرنامج الضار يقوم بطلب إحدى أرقام الهواتف الغالية الثمن (في حالة موديم تقليدي)، أو إجراء اتصال بموقع معين (في حالة موديم ADSL )، الهدف الأول والأخير لهذا النوع من البرامج الضارة هو حصول مبرمجه على المال على حساب أصحاب الأجهزة المصيبة.مثال: Dial/XXXDial-E والذي نسميه أيضا XXXDial Downloaders المحملات :هذا البرنامج الضار غالبا ما نجده على شكل ملف بامتداد .exe ،عند فتحه بالجهاز يقوم مباشرة بالاتصال بموقع خاص، FTP ، IRC ، إلى غير ذلك من أنواع السيرفورات.من هذا الموقع سيقوم بتحميل برنامج ضار أكبر وأكثر خطورة من الأول ( ك "دودة" مثلا).Droppers المحاقن :هي برامج ضارة تعطي انطباعا لدى المضادات أنها بريئة، ولكنها تخفي في طياتها نظاما يمكنها من حقن برامج ضارة أخرى داخل الجهاز، تقنيا تستغل هذه المحاقن فرصة بدء تشغيل الجهاز أو عند فتح متصفح الإنترنت.Viruses الفيروسات:ولو أنه كثر استعمال هذا الاسم بالنسبة لكافة البرامج الضارة ولكن هذا هو التعريف الأصلي لهذه الفئة:الفيروس هو برنامج يتكاثر تلقائيا لينشر نفسه في النظام، وليصيب البرامج الأخرى ويتسبب في خللها.جد شعبي في عالم ال MS-DOS وال Windows 3.1 ،ولكن سرعة انتشاره أصبحت جد ضعيفة بالمقارنة بالبرامج الضارة الأخرى.مثال : هدف فيروس Tchernobyl هو حذف أجزاء مهمة من البيوس BIOS مما يتسبب في عطل تشغيل الجهاز.Worms الديدان:يتميز هذا النوع من البرامج بسهولة برمجتها مقارنة بالفيروسات، هذه الديدان تستعمل الإنترنت بكل تقنياته لنشر نفسها عبر العالم، كالبريد الإلكتروني، مواقع الإنترنت، سرفورات ال FTP ، وحتى بروتوكولات ال Netbios...أشهر حدث يخص هذه الديدان كان سنة 1988، حيث قام أحد الطلاب (Robert T. Morris من جامعة Cornell) ببرمجة أحد البرامج القادرة على التنقل عبر شبكة الاتصال، بعد 8 ساعات من إطلاقه عبر الشبكة استطاع البرنامج إصابة آلاف الأجهزة، وإعطاب العديد منها، كانت سرعة انتقال هذه الدودة عبر الشبكة جد هائلة مما استحال معه القضاء عليها، هذا الانتشار تسبب في إعطاب الشبكة مما اضطرت معه ال NSA (National Security Agency)من إيقاف الاتصالات طيلة يوم كامل.طريقة عمل الديدان تطورت اليوم بتطور أدوات الاتصال وبرامج المحادثة الفورية، وذلك بواسطة رسائل تحمل الدودة (غالبا على شكل سكريبت أو ملف بامتداد .exe ) وتستطيع بمجرد تفعيلها من جمع كل العناوين الإلكترونية الموجودة بالجهاز وإرسال نفسها إليهم جميعا.مثل دودة I Love you والتي انتشرت بسرعة هائلة عبر ملايين الأجهزة عبر العالم يوم 4 مايو 2000 ، مما جعل الأمريكيين يقدرون خسارة حجمها يناهز السبعة ملايير دولار (لكن لحسن حضهم كانت الخسارة أقل من ذلك).وقد كان سبب ذلك تطور برمجة هذه الدودة بحيث كانت تقوم بعد دخول أي جهاز بالبحث عن ملفات الصور،الملفات النصية، ملفات السكريبتات، صفحات ال HTML ...) تم زرع سكربت الدودة فيه وإضافة امتداد جديد بصيغة .vbs ، أيضا كانت تقوم بتغييرات في قاعدة الرجيستري بحيث يتم تفعيل الدودة بعد كل إعادة تشغيل للجهاز، تجمع كل العناوين الإلكترونية الموجودة بالجهاز أو السرفر وترسل نفسها إليهم مباشرة.زيادة على ذلك تبحث هذه الدودة على برنامج المراسلة الفورية mIRC وتقوم بإرسال نفسها إلى كل من يتواجد بغرفة الحوار في حالة وجوده.Trojans أحصنة طروادة:لهذه البرامج هدف واحد ألا وهو التحكم عن بعد بجهاز الضحية، سواء من ناحية التجسس على كل المعلومات الموجودة بجهاز الضحية، أو بالتحكم به كما لو كان صانع الحصان جالسا أمام شاشة الجهاز المصاب، أي أنه يستطيع فتح الملفات التي يريدها، تعديلها، حذفها، تحميلها وذلك عبر الإنترنت بطبيعة الحال.Backdoors الأبواب الخلفية:هدف هذه البرامج الضارة هو فتح باب بالجهاز يمكن قراصنة الإنترنت ومرسلي الفيروسات من زرع ألغامهم بكل سهولة دون أية ردة فعل من قبل النظام.غالبا ما تستعمل هذه الأبواب لزرع أحصنة طروادة وهذه بعض الأمثلة لبعض أبواب الويندووز لع أسماء الأحصنة المستغلة لكل واحد منها :23TTS (Tiny Telnet Server)25Ajan, Antigen, Email Password Sender, Happy99, Kuang 2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy 31Agent 31, Hackers Paradise, Masters Paradise 41 Deep Throat 59DMSetup 79FireHotcker 80Executor, RingZero 99Hidden port21Back construction, Blade runner, Doly, Fore, FTP trojan, Invisible FTP, Larva, WebEx, WinCrash هذه فقط بعض الأمثلة علما أنه هناك أكثر من 175 بابا، يستغل كلا منها حصان طروادة على الأقل.أوامر BAT (بالنسبة للـ Windows)، وال Shell (بالنسبة للـ Unix/Linux)لهذه الملفات النصية الملغمة نقطتان قويتان، أولا صغر حجمها فلا يكاد الملف الواحد يتعدى بضع مئات من الأوكتيات، مما يسهل تسللها إلى جهاز الضحية، ثانيا سهولة برمجتها فلا يحتاج إنتاج هذا النوع من الملفات معرفة أحد أدوات البرمجة المتطورة كمبرمج ال C أو مبرمج ال Delphi.ولكن رغم سهولة برمجتها فغالبا ما تكون نتائجها جد وخيمة، زيادة على ذلك فهذه الملفات الملغمة متجانسة مع جميع أنظمة تشغيل Microsoft بداية من DOS 6.0 وانتهاء ب Windows XP.Macrosالإضافات النصية الضارة:استغل مبرمجو هذا النوع من البرامج الضارة بعض الصلاحيات التي أعطتها Microsoft للملفات النصية من نوع Word ، Exel ، Power Point ، Access ، Frontpage لبرمجة إضافات تستغل هذه الهفوة في النظام لزرع سمومها وسطه لأهداف متنوعة حسب رغبة المبرمج، ارتباط هذه الأوامر الخبيثة بالملفات النصية جعل من الشركات أرضا خصبة لانتشارها.Rootkit علب القيادة:هذه الأدوات هي من أقوى البرامج الضارة الموجودة حاليا، أهدافها جد متنوعة حسب رغبة مبرمجيها، رصدها جد صعب من قبل المضادات وذلك لذكاء توغلها بالنظام وذلك بحذف أحد ملفات النظام ثم أخد مكانه واسمه، عند تثبيته بالجهاز يستطيع الحصول على كل الحقوق الذي تمكنه من الوصول إلى أهدافه كال Administrator في نظام Windows وال Root في نظام Unix/Linux.هذا النوع من البرامج الضارة كثير الانتشار في نظام Unix/Linux ، وبدأ انتشاره يدخل شيئا فشيئا إلى عالم ال Windows.وخطورته تتجلى في أنه حتى لو تمكنا من حذفه فمن الصعب استعادة ملف النظام الذي قام بحذفه في بادئ الأمر.لذلك غالبا ما يكون الحل الوحيد لمثل هذه المشكلة هو فرمته الجهاز.أمثلة:MonKitOpticKitLOC rootkitRomanian rootkitSuckit rootkitVolc rootkitGold2 rootkitAnnonoying rootkitZK rootkitShKit rootkitAjaKit rootkitzaRwT rootkitHacktool.Rootkitt0rn rootkitDucoci rootkitFlooders المغرقات :أما هذه فلها هدف واحد إغراق أحد الأهداف كموقع مثلا وذلك بضخ المعلومات منه أو إليه إلى حد لا يستطيع معه القيام بهامه بشكل جيد أو إفراغ الباندويش الخاص به في مدة جد قصيرة حسب عدد الأجهزة المصابة والتي تقوم بمهاجمة الموقع دون علم صاحبها. تمر هذه المغرقات عبر مرحلتين، الأولى هي إصابة أكبر عدد من الأجهزة وذلك باستعمال أحدى طرق العدوى كالمواقع الكثيرة الزوار أو برامج التحميل من جهاز لآخر، والثانية هي الهجوم من جهاز الضحية على الموقع أو الجهاز المستهدف مما تظهر آثاره في تقل الجهاز عامة و تصفح الإنترنت خاصة.مثال : القنبلة الرقمية الموقوتة Tchernobyl (نفس إسم فيروس البيوس المعروف)قام مبرمج هذه القنبلة ببرمجتها ونشرها بحيث سيتم تفعيلها جميعها عبر العالم في وقت واحد وهو يوم 26 أبريل 1999 (الذكرى الثالثة عشر للانفجار النووي Tchernobyl) مما تسبب في إعطاب الاتصالات عبر العالم.Desktop Hijackers محولات سطح المكتب:أصبح الكثير من مبرمجي البرامج الضارة يمرون إلى برمجة هذا النوع وذلك للأرباح التي يمكن جنيها منها، طريقة عمل هذه الأخيرة هو إظهار بالونات تنبهك بأن جهازك مصاب، أو أن به فيروسات جد خطيرة، أيضا يمكنها تغيير سطح مكتبك، ووضع صورة مكانه تعلمك بأن جهازك قد تم اختراقه، وفي الأخير إعلامك أن الحل الوحيد هو تحميل مضاد للمتجسسات مزور والذي غالبا ما يكون ثمنه حوالي الخمسين دولار، وهكذا يتمكن مبرمج هذه المحولات من جني أرباح طائلة عبر نشر هذه الأخيرة.أمثلة:
Bravesentry
Smitfraud
AdayairespyAdware PunisherAdware SheriffAlpha CleanerAV GoldBargain BuddyBrave SentryMalware WipePest TrapPS GuardQuicknavigate.comSecurity iGuardSpy AxeSpy GuardSpy HealSpy SheriffSpyware Soft StopSpyware VanisherSpyware QuakeSpyware SheriffStartsearches.netUpdateSearches.comVirtual MaidWin32.puperWin HoundRogues Bravesentry المضادات المزيفة:هناك تشابه كبير بين هدف هذه المضادات المزيفة وهدف محولات سطح المكتب وهو إيهام المستعمل أن جهازه مليء بالمشاكل ودفعه لشراء الحل المزيف، لكنها تختلف من ناحية الطريقة فهذه الأخيرة تقود المستعمل لفحص جهازه بواسطتها ثم إعطائه تقريرا يبين أن جهازه مليء بالبرامج الضارة والتي لا يستطيع المضاد الحالي إزالتها مما يحتم شراء النسخة الأقوى والمدفوعة بطبيعة الحال.
Malware Wipe
Adaware Delete
Safe ErrorSpyware DetectorSystem DoctorSpyware NukerSpyware RemoverSpy KillerSpy DoctorMalware Wipeهذه فقط بعض الأمثلة علما أنه يوجد في غابة الإنترنت أكثر من 1100 مضاد مزيف من هذا النوع.
