بسم الله الرحمن الرحيم
الدرس برامج الحماية الوهمية والضارة
في الآونة الأخيرة كثر استعمال الكثير من الكلمات من قبيل السبايوورات و الديدان وغيرها من أسماء البرامج الضارة، يحوي الإنترنت عدد خيالي من البرامج الغير مرغوب بها، والتي تسمى بصفة عامة البرامج الضارة، تحت هذا الإسم تختبئ العديد من العائلات التي تختلف اختلافا تاما في ما بينها سواء من ناحية الأهداف أو في طريقة العمل.
بإذن الله سأحاول شرح هذه الأنواع لرؤية أوضح في هذه الغابة
أنوه إلى أن هذا الشرح قابل للنقاش خصوصا في تسميات هذه البرامج الضارة، وذلك لأنني نويت بعون الله إعطاء بعض منها أسماء عربية بدلا من إتباع الغرب في تسمياته، ولا أعلم هل لدي الحق في هذا أم لا ومن أجل هذا أنتظر تعليقاتكم.
Spywares المتجسسات:
والتي تهدف إلى معرفة نشاطك وتتبع حركاتك في الجهاز المصاب، ثم إرسال هذه الحزمة من المعلومات للاستفادة منها بشكل من الأشكال.
هذه المعلومات يمكن أن تكون عبارة عن:
العبارات المبحوث عنها عبر محركات البحث.
الموقع التي تقوم بزيارتها.
البضائع التي تشتريها عبر الإنترنت.
معلومات الشراء عبر الإنترنت (أرقام بطاقة التأمين، رقم الحساب، كلمات السر الخاصة بال )
أو معلومات الشخصية الخاصة بك (الإسم، السن، المهنة)
غالبا ما يتم تثبيت هذا النوع من البرامج الضارة بالموازاة مع تثبيت إحدى البرامج المجانية، بحيث أصبح الكثير من مبرمجي هذه الأخيرة يستند على هذه المتجسسات للحصول على المال وذلك ببيع حزمة المعلومات المجموعة من الأجهزة المصابة إلى شركات مختصة تستطيع تحليل هذه الأخيرة واستعمالها في ما يساهم في تطوير منتجاتها.
أمثلة للبرامج المجانية التي تثبيت الكثير من هذه المتجسسات:
Kazaa والذي يحقن في النظام المتجسس Cydoor
DivX إلا النسخ المدفوعة منه.
برامج الطابعات HP والتي اتضح أنها ترسل رسائل مشفرة للموقع الأم عند كل طباعة.
أيضا:
KaZaA
iMesh
Get Right
Go!Zilla
Download Accelerator
Cute FTP
PK Zip
Spyware Secure
Babylon Translator
هذه المتجسسات ليست بالضرورة غير قانونية، وذلك لكون المستعمل قد وافق على تثبيتها وذلك بالموافقة على شروط استعمال البرنامج المجاني المرافق، وبما أن جل مستعملي البرامج لا يقرؤون هذه الشروط بالكامل، فأغلبهم لا يعلم بأنه يتم التجسس على كل تحركاته عند الاتصال بالإنترنت.
هناك أضرار أخرى لهذه الفئة من البرامج الضارة غير التجسس على معلوماتنا الخاصة وهي :
استهلاك ذاكرة الجهاز (بطء)
استهلاك المساحة الفارغة من الأقراص الصلبة (بطء)
التأثير على البرامج الأخرى (أخطاء النظام)
تحت هذا الإسم تدخل عائلتان كبيرتان :
Keyloggers المدونات :
أو مسجلات ضغطات أزرار لوحة المفاتيح، تقوم هذه البرامج الضارة بتسجيل كل ما تكتبه بما في ذلك كلمات السر التي تستعملها وأرقام بطاقات الائتمان وحفظه في ملف خاص (غالبا ما يكون مشفر) ثم إرساله إلى صانع البرنامج الضار بحيث يفك شفرته ويستخرج منه المعلومات التي كان يستهدفها.
أمثلة:
Net Spy
Real Spy
Perfect Keylogger
Keylogger Pro
Dreamscape Keylogger
Ghost Keylogger
I-Spy
Sim Keylogger
Simred Keylogger
Adware البرامج الإعلانية :
غلبا ما تكون هذه الفئة غير مضرة إلى حد ما، فهي تقوم فقط بتغيير صفحة البداية للمتصفحات وتحويلها إلى موقع إعلاني، إضافة لوحة بحث في أعلى المتصفحات لإرشاد المستخدم إلى مواقع محددة كيفما كانت عبارة البحث، أي أن هدفها ينحصر في إظهار الإعلانات، ويمكن أن يتعدى ذلك بسرقة بعض معلوماتك الشخصية كعناوين المواقع التي تزورها، العبارات التي تبحث عنها في محركات البحث ثم حفظ هذه المعلومات في ملف خاص وإرساله إلى جهات مختصة تقوم باستعماله في تطوير وسائلهم الإعلانية واستعمال البرنامج ألإشهاري نفسه ليظهر لك إعلانات تناسب اهتماماتك.
أمثلة:
Cool Web Search( الأكثر شهرة)
Euniverse
Xupiter
About : blank
Mirar
Dialers المتصلات :
المتصل هو برنامج خبيث قادر على إجراء اتصال من خلال المودم الخاص بك على حسابك، هذا البرنامج الضار يقوم بطلب إحدى أرقام الهواتف الغالية الثمن (في حالة موديم تقليدي)، أو إجراء اتصال بموقع معين (في حالة موديم ADSL )، الهدف الأول والأخير لهذا النوع من البرامج الضارة هو حصول مبرمجه على المال على حساب أصحاب الأجهزة المصيبة.
مثال: Dial/XXXDial-E والذي نسميه أيضا XXXDial
Downloaders المحملات :
هذا البرنامج الضار غالبا ما نجده على شكل ملف بامتداد .exe ،عند فتحه بالجهاز يقوم مباشرة بالاتصال بموقع خاص، FTP ، IRC ، إلى غير ذلك من أنواع السيرفورات.
من هذا الموقع سيقوم بتحميل برنامج ضار أكبر وأكثر خطورة من الأول ( ك "دودة" مثلا).
Droppers المحاقن :
هي برامج ضارة تعطي انطباعا لدى المضادات أنها بريئة، ولكنها تخفي في طياتها نظاما يمكنها من حقن برامج ضارة أخرى داخل الجهاز، تقنيا تستغل هذه المحاقن فرصة بدء تشغيل الجهاز أو عند فتح متصفح الإنترنت.
Viruses الفيروسات:
ولو أنه كثر استعمال هذا الاسم بالنسبة لكافة البرامج الضارة ولكن هذا هو التعريف الأصلي لهذه الفئة:
الفيروس هو برنامج يتكاثر تلقائيا لينشر نفسه في النظام، وليصيب البرامج الأخرى ويتسبب في خللها.
جد شعبي في عالم ال MS-DOS وال Windows 3.1 ،ولكن سرعة انتشاره أصبحت جد ضعيفة بالمقارنة بالبرامج الضارة الأخرى.
مثال : هدف فيروس Tchernobyl هو حذف أجزاء مهمة من البيوس BIOS مما يتسبب في عطل تشغيل الجهاز.
Worms الديدان:
يتميز هذا النوع من البرامج بسهولة برمجتها مقارنة بالفيروسات، هذه الديدان تستعمل الإنترنت بكل تقنياته لنشر نفسها عبر العالم، كالبريد الإلكتروني، مواقع الإنترنت، سرفورات ال FTP ، وحتى بروتوكولات ال Netbios...
أشهر حدث يخص هذه الديدان كان سنة 1988، حيث قام أحد الطلاب (Robert T. Morris من جامعة Cornell) ببرمجة أحد البرامج القادرة على التنقل عبر شبكة الاتصال، بعد 8 ساعات من إطلاقه عبر الشبكة استطاع البرنامج إصابة آلاف الأجهزة، وإعطاب العديد منها، كانت سرعة انتقال هذه الدودة عبر الشبكة جد هائلة مما استحال معه القضاء عليها، هذا الانتشار تسبب في إعطاب الشبكة مما اضطرت معه ال NSA (National Security Agency)من إيقاف الاتصالات طيلة يوم كامل.
طريقة عمل الديدان تطورت اليوم بتطور أدوات الاتصال وبرامج المحادثة الفورية، وذلك بواسطة رسائل تحمل الدودة (غالبا على شكل سكريبت أو ملف بامتداد .exe ) وتستطيع بمجرد تفعيلها من جمع كل العناوين الإلكترونية الموجودة بالجهاز وإرسال نفسها إليهم جميعا.
مثل دودة I Love you والتي انتشرت بسرعة هائلة عبر ملايين الأجهزة عبر العالم يوم 4 مايو 2000 ، مما جعل الأمريكيين يقدرون خسارة حجمها يناهز السبعة ملايير دولار (لكن لحسن حضهم كانت الخسارة أقل من ذلك).
وقد كان سبب ذلك تطور برمجة هذه الدودة بحيث كانت تقوم بعد دخول أي جهاز بالبحث عن ملفات الصور،الملفات النصية، ملفات السكريبتات، صفحات ال HTML ...) تم زرع سكربت الدودة فيه وإضافة امتداد جديد بصيغة .vbs ، أيضا كانت تقوم بتغييرات في قاعدة الرجيستري بحيث يتم تفعيل الدودة بعد كل إعادة تشغيل للجهاز، تجمع كل العناوين الإلكترونية الموجودة بالجهاز أو السرفر وترسل نفسها إليهم مباشرة.
زيادة على ذلك تبحث هذه الدودة على برنامج المراسلة الفورية mIRC وتقوم بإرسال نفسها إلى كل من يتواجد بغرفة الحوار في حالة وجوده.
Trojans أحصنة طروادة:
لهذه البرامج هدف واحد ألا وهو التحكم عن بعد بجهاز الضحية، سواء من ناحية التجسس على كل المعلومات الموجودة بجهاز الضحية، أو بالتحكم به كما لو كان صانع الحصان جالسا أمام شاشة الجهاز المصاب، أي أنه يستطيع فتح الملفات التي يريدها، تعديلها، حذفها، تحميلها وذلك عبر الإنترنت بطبيعة الحال.
Backdoors الأبواب الخلفية:
هدف هذه البرامج الضارة هو فتح باب بالجهاز يمكن قراصنة الإنترنت ومرسلي الفيروسات من زرع ألغامهم بكل سهولة دون أية ردة فعل من قبل النظام.
غالبا ما تستعمل هذه الأبواب لزرع أحصنة طروادة وهذه بعض الأمثلة لبعض أبواب الويندووز لع أسماء الأحصنة المستغلة لكل واحد منها :
23TTS (Tiny Telnet Server)
25
Ajan, Antigen, Email Password Sender, Happy99, Kuang 2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
31
Agent 31, Hackers Paradise, Masters Paradise
41
Deep Throat
59
DMSetup
79
FireHotcker
80
Executor, RingZero
99
Hidden port
21
Back construction, Blade runner, Doly, Fore, FTP trojan, Invisible FTP, Larva, WebEx, WinCrash
هذه فقط بعض الأمثلة علما أنه هناك أكثر من 175 بابا، يستغل كلا منها حصان طروادة على الأقل.
أوامر BAT (بالنسبة للـ Windows)، وال Shell (بالنسبة للـ Unix/Linux)
لهذه الملفات النصية الملغمة نقطتان قويتان، أولا صغر حجمها فلا يكاد الملف الواحد يتعدى بضع مئات من الأوكتيات، مما يسهل تسللها إلى جهاز الضحية، ثانيا سهولة برمجتها فلا يحتاج إنتاج هذا النوع من الملفات معرفة أحد أدوات البرمجة المتطورة كمبرمج ال C أو مبرمج ال Delphi.
ولكن رغم سهولة برمجتها فغالبا ما تكون نتائجها جد وخيمة، زيادة على ذلك فهذه الملفات الملغمة متجانسة مع جميع أنظمة تشغيل Microsoft بداية من DOS 6.0 وانتهاء ب Windows XP.