Viruses and Worms

7
‫اﻟﮭﺎﻛﺮ اﻷﺧﻼﻗﻲ‬
Viruses and Worms
By
Dr.Mohammed Sobhy Teba

Virus and Worms
https://www.facebook.com/tibea2004
561
CONTENTS
563 ................... ................................................................................................(‫ )ﻣﻔﮭوم اﻟﻔﯾروﺳﺎت واﻟدﯾدان‬Virus And Worms Concept 7.1
563 ..... ................................................................................................................................................................‫ﻣﻘدﻣﮫ ﻋن اﻟﻔﯾروﺳﺎت‬
564 .. ................................................................................................(Virus and Worm Statistics) ‫اﻻﺣﺻﺎﺋﯾﺎت ﻋن اﻟﻔﯾروﺳﺎت واﻟدﯾدان‬
564 .... ................................................................................................................................(Stage of Virus Life) ‫دورة ﺣﯾﺎة اﻟﻔﯾروس‬
565 ................ ................................................................ Working of Viruses: Infection Phase ‫ ﻣرﺣﻠﺔ اﻟﻌدوى‬:‫طرﯾﻘﺔ ﻋﻣل اﻟﻔﯾروﺳﺎت‬
567 .... ................................................................................................................................‫ﻟﻣﺎذا ﯾﻠﺟﺎ اﻟﻧﺎس اﻟﻰ إﻧﺷﺎء ﻓﯾروﺳﺎت اﻟﻛﻣﺑﯾوﺗر؟‬
567 .................... ................................................................................................................................ ‫اﻟﻣؤﺷرات ﻋﻠﻰ ھﺟﻣﺎت اﻟﻔﯾروﺳﺎت‬
568 .... ................................................................................................................................ ‫ﻛﯾف ﯾﺻﺑﺢ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر ﻣﺻﺎﺑﺎ ﺑﺎﻟﻔﯾروﺳﺎت؟‬
568 .... ................................................................................................‫اﻟﺗﻘﻧﯾﺎت اﻷﻛﺛر ﺷﻌﺑﯾﮫ واﻟﺗﻲ ﺗﺳﺗﺧدم ﻟﺗوزﯾﻊ اﻟﺑراﻣﺞ اﻟﺿﺎرة ﻋﻠﻰ اﻹﻧﺗرﻧت‬
568 ..... ................................................................................................................................Virus Hoaxes and Fake Antiviruses
570 ............... ................................................................................................................................Virus Analysis: DNSChanger
571 ................ ................................................................................................................................ (Type of Viruses) ‫ أﻧواع اﻟﻔﯾروﺳﺎت‬7.2
571 ............. ................................................................................................................................(Type of Viruses) ‫أﻧواع اﻟﻔﯾروﺳﺎت‬
574 ........................................................................................................................(System/Boot Sector Virus) ‫ﻓﯾروﺳﺎت ﻗطﺎع اﻟﺗﺷﻐﯾل‬
575 ................. ................................................................................................................................(Virus Removal) ‫إزاﻟﺔ اﻟﻔﯾروس‬
575 ................... ................................................................................................................................ File and Multipartite Viruses
576 .................. ................................................................................................................................(Macro Viruses) ‫ﻓﯾروﺳﺎت اﻟﻣﺎﻛرو‬
577 ............ ................................................................................................................................ (Cluster Viruses) ‫اﻟﻔﯾروﺳﺎت اﻟﻌﻧﻘودﯾﺔ‬
577 ........................................................................................................................................................ Stealth/Tunneling Viruses
578 ........... ................................................................................................................................(Encryption Viruses) ‫اﻟﻔﯾروس اﻟﻣﺷﻔر‬
578 . ................................................................................................................................ (Polymorphic Viruses) ‫ﻓﯾروس ﻣﺗﻌدد اﻻﺷﻛﺎل‬
579 . ................................................................................................................................:(Metamorphic Viruses) ‫اﻟﻔﯾروﺳﺎت اﻟﻣﺗﺣوﻟﺔ‬
580 ......... ................................................................................................................................ File Overwriting or Cavity Viruses
580 .............................................................................................................................................................Sparse Infector Viruses
581 ............. ................................................................................................................................ Companion/Camouflage Viruses
581 .............. ................................................................................................................................................................ Shell Viruses
582 ...............................................................................................................................................................File Extension Viruses
582 .................. ................................................................................................................................ Add-on and Intrusive Viruses
583 ............ ................................................................................................ Transient and Terminate and Stay Resident Viruses
https://www.facebook.com/tibea2004 ‫ ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬.‫د‬

562
583 ....... ................................................................................................(Writing a Simple Virus Program) ‫ﻛﺗﺎﺑﺔ ﺑرﻧﺎﻣﺞ ﻓﯾروس ﺑﺳﯾط‬
584 ...............................................................................................................................................................TeraBIT Virus Maker
584 ............ ................................................................................................JPS Virus Maker and DELmE’s Batch Virus Maker
586 ...... ................................................................................................................................................................Computer Worms 7.3
586 .......... ................................................................................................................................ (Computer Worms) ‫دﯾدان اﻟﻛﻣﺑﯾوﺗر‬
587 ...........................................................................................................................................................Worm Analysis: Stuxnet
592 ......................................................................................................................... Worm Maker: Internet Worm Maker Thing
592 ..... ................................................................................................................................................................ Malware Analysis 7.4
592 ......... ................................................................................................................................ What Is a Sheep Dip Computer?
593 ....... ................................................................................................ (Antivirus Sensor Systems)‫أﻧظﻣﺔ اﺳﺗﺷﻌﺎر ﻣﻛﺎﻓﺢ اﻟﻔﯾروﺳﺎت‬
593 .......... ................................................................(‫ )إﺟراء ﺗﺣﻠﯾل اﻟﺑراﻣﺞ اﻟﺿﺎرة‬Malware Analysis Procedure: Preparing Testbed
593 ........ ................................................................................................(Malware Analysis Procedure) ‫اﺟراء ﺗﺣﻠﯾل اﻟﺑراﻣﺞ اﻟﺿﺎرة‬
597 .................. ................................................................................................................................ Virus Analysis Tool: IDA Pro
600 ...... ................................................................................................................................ Online Malware Testing: VirusTotal
601 ........... ................................................................................................................................Online Malware Analysis Services
601 ............... ................................................................................................................................ (Countermeasures) ‫ اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة‬7.5
601 .............. ................................................................................................ (Virus Detection Methods) ‫طرق اﻟﻛﺷف ﻋن اﻟﻔﯾروﺳﺎت‬
602 ........... ................................................................(Virus And Worms Countermeasures) ‫اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة ﺿد اﻟﻔﯾروﺳﺎت واﻟدﯾدان‬
603 .............. ................................................................................................................................Companion Antivirus: Immunet
603 ................................................................................................................................................................ ‫أدوات ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت‬
604 ................ ................................................................................................................................ (penetration test) ‫ ﻣﺧﺗﺑري اﻻﺧﺗراق‬7.6

‫‪563‬‬
‫اﻟﮭدف ﻣن ھذه اﻟوﺣدة ھو ﻋرض ﻣﺧﺗﻠف اﻟﻔﯾروﺳﺎت واﻟدﯾدان)‪ (worms‬اﻟﻣﺗﺎﺣﺔ اﻟﯾوم‪ .‬ﻓﮭو ﯾوﻓر ﻟك اﻟﻣﻌﻠوﻣﺎت ﻋن ﻛل اﻟﻔﯾروﺳﺎت واﻟدﯾدان‬
‫اﻟﻣﺗﺎﺣﺔ‪ .‬ﯾدرس ھذه اﻟوﺣدة طرﯾﻘﺔ ﻋﻣل ﻓﯾروس اﻟﻛﻣﺑﯾوﺗر‪ ،‬وظﯾﻔﺗﮭﺎ‪ ،‬واﻟﺗﺻﻧﯾف‪ ،‬واﻟطرﯾﻘﺔ اﻟﺗﻲ ﯾؤﺛر ﺑﮭﺎ ﻋﻠﻰ اﻟﻧظم‪ .‬وھذه اﻟوﺣدة ﺗﺧوض‬
‫ﻓﻲ اﻟﺗﻔﺎﺻﯾل ﺣول ﻣﺧﺗﻠف اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة اﻟﻣﺗﺎﺣﺔ ﻟﻠﺣﻣﺎﯾﺔ ﺿد ھذه اﻟﻌدوى ﻣن اﻟﻔﯾروﺳﺎت‪ .‬اﻟﮭدف اﻟرﺋﯾﺳﻲ ﻣن ھذه اﻟوﺣدة ھو اﻟﺗﺛﻘﯾف ﻋن‬
‫اﻟﻔﯾروﺳﺎت اﻟﻣﺗﺎﺣﺔ واﻟدﯾدان‪ ،‬وﻣؤﺷرات ھﺟوﻣﮭم وﺳﺑل اﻟﺣﻣﺎﯾﺔ ﺿد اﻟﻔﯾروﺳﺎت اﻟﻣﺧﺗﻠﻔﺔ‪ ،‬واﺧﺗﺑﺎر اﻟﻧظﺎم اﻟﺧﺎص ﺑك أو اﻟﺷﺑﻛﺔ ﺿد‬
‫اﻟﻔﯾروﺳﺎت أو وﺟود اﻟدﯾدان‪ .‬وھذه اﻟوﺣدة ﺗﻌرﻓﻛم ﻋﻠﻰ اﻻﺗﻲ‪:‬‬
‫‪ -‬ﻣﻘدﻣﺔ ﻋن اﻟﻔﯾروﺳﺎت‬
‫‪ -‬ﻣراﺣل ﺣﯾﺎة اﻟﻔﯾروﺳﺎت‬
‫‪ -‬ﻋﻣل اﻟﻔﯾروﺳﺎت‬
‫‪ -‬اﻟﻣؤﺷرات ﻋﻠﻰ ھﺟوم اﻟﻔﯾروﺳﺎت‬
‫‪ -‬ﻛﯾف اﺣﺻل ﻋﻠﻰ ﺟﮭﺎز ﻛﻣﺑﯾوﺗر ﻣﺻﺎب‬
‫ﺑﺎﻟﻔﯾروﺳﺎت؟‬
‫‪ -‬ﺗﺣﻠﯾل اﻟﻔﯾروﺳﺎت‬
‫‪ -‬أﻧواع اﻟﻔﯾروﺳﺎت‬
‫‪ -‬ﺻﻧﺎﻋﺔ اﻟﻔﯾروﺳﺎت‬
‫‪ -‬ﺻﺎﻧﻊ اﻟدﯾدان )‪(worms‬‬
‫‪ -‬طرق ﺗﺣﻠﯾل اﻟﺑراﻣﺞ اﻟﺧﺑﯾﺛﺔ‬
‫‪ -‬ﺧدﻣﺎت ﺗﺣﻠﯾل اﻟﺑراﻣﺞ اﻟﺧﺑﯾﺛﺔ ﻋﺑر اﻹﻧﺗرﻧت‬
‫‪ -‬اﻟﻔﯾروﺳﺎت واﻟدﯾدان‬
‫‪ -‬اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة‬
‫‪ -‬أدوات ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت‬
‫‪ -‬اﺧﺗﺑﺎر اﻻﺧﺗراق ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﻔﯾروﺳﺎت‬
‫‪) Virus And Worms Concept 7.1‬ﻣﻔﮭﻮم اﻟﻔﯿﺮوﺳﺎت واﻟﺪﯾﺪان(‬
‫ھذا اﻟﻘﺳم ﯾﻘدم ﻟك اﻟﻣﻌرﻓﺔ ﺣول اﻟﻌدﯾد ﻣن اﻟﻔﯾروﺳﺎت واﻟدﯾدان اﻟﻣﺗﺎﺣﺔ اﻟﯾوم وﯾﻌطﯾك ﻟﻣﺣﺔ ﻣوﺟزة ﻋن ﻛل اﻟﻔﯾروﺳﺎت واﻹﺣﺻﺎءات ﻣن‬
‫اﻟﻔﯾروﺳﺎت واﻟدﯾدان ﻓﻲ اﻟﺳﻧوات اﻷﺧﯾرة‪ .‬وھو ﯾﺳرد اﻷﻧواع اﻟﻣﺧﺗﻠﻔﺔ ﻣن اﻟﻔﯾروﺳﺎت وآﺛﺎرھﺎ ﻋﻠﻰ ﻧظﺎﻣك‪ .‬اﻟﻌﻣل ﻣن اﻟﻔﯾروﺳﺎت ﻓﻲ ﻛل‬
‫ﻣرﺣﻠﺔ وﺳﯾﺗم ﻣﻧﺎﻗﺷﺗﮭﺎ ﺑﺎﻟﺗﻔﺻﯾل‪ .‬وﯾﺳﻠط اﻟﺿوء ﻋﻠﻰ اﻟﺗﻘﻧﯾﺎت اﻟﻣﺳﺗﺧدﻣﺔ ﻣن ﻗﺑل اﻟﻣﮭﺎﺟم ﻟﺗوزﯾﻊ اﻟﺑراﻣﺞ اﻟﺿﺎرة ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت‪.‬‬
‫ﻣﻘدﻣﮫ ﻋن اﻟﻔﯾروﺳﺎت‬
‫ﻓﯾروﺳﺎت اﻟﻛﻣﺑﯾوﺗر ﻟدﯾﮭﺎ اﻟﻘدرة ﻋﻠﻰ أن ﺗﻌﯾث ﻓﺳﺎدا ﻓﻲ ﻛل ﻣن ﻗطﺎع اﻷﻋﻣﺎل وأﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﺷﺧﺻﯾﺔ‪ .‬ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻟﻌﺎﻟم‪ ،‬ﻓﺎن‬
‫ﻣﻌظم اﻟﺷرﻛﺎت ﻗد أﺻﯾﺑت ﻓﻲ ﻣرﺣﻠﺔ ﻣﺎ‪ .‬اﻟﻔﯾروس ھو ﺑرﻧﺎﻣﺞ ذاﺗﻲ ﺗﻛرار اﻟﺗﻲ ﺗﻧﺗﺞ اﻟﺗﻌﻠﯾﻣﺎت اﻟﺑرﻣﺟﯾﺔ اﻷﻛواد اﻟﺧﺎﺻﺔ ﺑﮫ ﻋن طرﯾﻖ رﺑط‬
‫ﻧﺳﺦ ﻣﻧﮫ إﻟﻰ اﻛواد أﺧرى ﻗﺎﺑﻠﺔ ﻟﻠﺗﻧﻔﯾذ‪ .‬ﯾﻌﻣل ھذا اﻟﻔﯾروس دون ﻋﻠم أو رﻏﺑﺔ اﻟﻣﺳﺗﺧدم‪ .‬ﻣﺛل اﻟﻔﯾروس اﻟﺣﻘﯾﻘﻲ‪ ،‬ﺣﯾث ان ﻓﯾروس ﻛﻣﺑﯾوﺗر‬
‫ﻣﻌدي وﯾﻣﻛﻧﮫ أن ﯾﺻﯾب ﻏﯾره ﻣن اﻟﻣﻠﻔﺎت‪ .‬وﻣﻊ ذﻟك‪ ،‬ﯾﻣﻛن ﻟﮭذه اﻟﻔﯾروﺳﺎت أن ﺗﺻﯾب آﻻت اﻟﺧﺎرﺟﯾﺔ ﻓﻘط ﺑﻣﺳﺎﻋدة ﻣن ﻣﺳﺗﺧدﻣﻲ‬
‫اﻟﻛﻣﺑﯾوﺗر‪ .‬ﺑﻌض اﻟﻔﯾروﺳﺎت ﺗؤﺛر ﻋﻠﻰ أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر ﺑﻣﺟرد ﺗﻧﻔﯾذ‪/‬ﺗﺷﻐﯾل اﻷﻛواد اﻟﺧﺎﺻﺔ ﺑﮭم؛ اﻟﻔﯾروﺳﺎت اﻷﺧرى ﺗظل ﻛﺎﻣﻧﺔ ﺣﺗﻰ‬
‫ﯾﺗﺣﻘﻖ ظرف ﻣﻧطﻘﻲ ﻣﺣدد ﺳﻠﻔﺎ‪ .‬ھﻧﺎك ﺛﻼث ﻓﺋﺎت ﻣن اﻟﺑراﻣﺞ اﻟﺧﺑﯾﺛﺔ‪:‬‬
‫‪Trojans and rootkits -‬‬
‫‪Viruses -‬‬
‫‪Worms -‬‬
‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬

‫‪564‬‬
‫اﻟدﯾدان )‪ (worms‬ھﻲ ﺑراﻣﺞ ﺧﺑﯾﺛﺔ اﻟﺗﻲ ﯾﻣﻛﻧﮭﺎ أن ﺗﺻﯾب ﻛﻼ ﻣن اﻷﺟﮭزة اﻟﻣﺣﻠﯾﺔ واﻟﺑﻌﯾدة‪ .‬ﺗﻧﺗﺷر اﻟدﯾدان ﺗﻠﻘﺎﺋﯾﺎ ﻋن طرﯾﻖ إﺻﺎﺑﺔ اﻟﻧظﺎم‬
‫ﺑﻣﺟرد وﺟوده ﻋﻠﻰ اﻟﺷﺑﻛﺔ‪ ،‬وﺣﺗﻰ ﯾﻣﻛﻧﮫ أن ﯾﻧﺗﺷر إﻟﻰ ﻣزﯾد ﻣن اﻟﺷﺑﻛﺎت اﻷﺧرى‪ .‬وﺑﺎﻟﺗﺎﻟﻲ‪ ،‬ﻓﺎن اﻟدﯾدان ﻟدﯾﮭﺎ إﻣﻛﺎﻧﺎت ﻛﺑﯾره ﻟﻠﺗﺳﺑب ﺑﺎﻟﺿرر‬
‫ﻷﻧﮭﺎ ﻻ ﺗﻌﺗﻣد ﻋﻠﻰ إﺟراءات اﻟﻣﺳﺗﺧدم ﻟﺗﻧﻔﯾذھﺎ‪ .‬وھﻧﺎك أﯾﺿﺎ ﺑراﻣﺞ اﻟﺧﺑﯾﺛﺔ ﻓﻲ اﻟﺣﻘﯾﻘﺔ ﺗﺣﺗوي ﻋﻠﻰ ﻛﺎﻓﺔ ﻣﻣﯾزات اﻷﻧواع اﻟﺛﻼﺛﺔ ﻟﮭذه اﻟﺑراﻣﺞ‬
‫اﻟﺧﺑﯾﺛﺔ واﻟﺗﻲ ﺗﻌﺗﺑر اﺷرﺛﮭم‪.‬‬
‫اﻻﺣﺻﺎﺋﯾﺎت ﻋن اﻟﻔﯾروﺳﺎت واﻟدﯾدان )‪(Virus and Worm Statistics‬‬

‫اﻟﻣﺻدر‪http://www.av-test.org/en/home :‬‬
‫اﻟﺗﻣﺛﯾل اﻟرﺳوﻣﻲ اﻟﺗﺎﻟﻲ ﯾﻌطﻲ ﻣﻌﻠوﻣﺎت ﻣﻔﺻﻠﺔ ﻋن اﻟﮭﺟﻣﺎت اﻟﺗﻲ وﻗﻌت ﻓﻲ اﻟﺳﻧوات اﻷﺧﯾرة‪ .‬ووﻓﻘﺎ ﻟﻠرﺳم اﻟﺑﯾﺎﻧﻲ ﻧﺟد أن ‪11,666,667‬‬
‫ﻣن اﻷﻧظﻣﺔ ﻓﻘط‪ ،‬ﻗد أﺻﯾﺑوا ﻣن ﻗﺑل اﻟﻔﯾروﺳﺎت واﻟدﯾدان ﻓﻲ اﻟﻌﺎم ‪ ،2008‬ﻓﻲ ﺣﯾن أﻧﮫ ﻓﻲ اﻟﻌﺎم ‪ ،2012‬زاد اﻟﻌدد اﻟﻰ ‪ 70‬ﻣﻠﯾون ﻣن اﻟﻧظم‪،‬‬
‫وھذا ﯾﻌﻧﻲ أن ﻧﻣو اﻟﮭﺟﻣﺎت اﻟﺧﺑﯾﺛﺔ ﻋﻠﻰ اﻷﻧظﻣﺔ ﯾﺗزاﯾد ﻓﻲ ﻛل ﺳﻧﺔ أﺿﻌﺎﻓﺎ ﻣﺿﺎﻋﻔﺔ ﻋن اﻟﺳﻧوات اﻟﺳﺎﺑﻘﺔ‪.‬‬
‫دورة ﺣﯾﺎة اﻟﻔﯾروس )‪(Stage of Virus Life‬‬

‫ﻓﯾروﺳﺎت اﻟﺣﺎﺳﺑﺎت اﻟﺷﺧﺻﯾﺔ ﻟﮭﺎ دورة ﺣﯾﺎة ﻣﺛل اﻟﻔﯾروﺳﺎت اﻟﺗﻲ ﺗﺻﯾب اﻹﻧﺳﺎن‪ ،‬وھذه اﻟدورة ﺗﺑدأ ﻣن ﺗﺻﻣﯾم اﻟﻔﯾروس ﻋﻠﻰ ﺣﺎﺳب‬
‫اﻟﺷﺧص اﻟذي ﻗﺎم ﺑﺗطوﯾره‪ ،‬وﺗﻧﺗﮭﻲ ﻋﻧدﻣﺎ ﺗﺗم إزاﻟﺗﮫ ﻧﮭﺎﺋﯾﺎ ﻣن ﻋﻠﻰ اﻟﺣﺎﺳﺑﺎت اﻟﺷﺧﺻﯾﺔ وﺷﺑﻛﺔ اﻹﻧﺗرﻧت ﺑﻣﺧﺗﻠف أﻧﺣﺎء اﻟﻌﺎﻟم‪ .‬وھﻧﺎك ﺳﺗﺔ‬
‫ﻣراﺣل ﻟدورة ﺣﯾﺎة ﻓﯾروﺳﺎت اﻟﻛﻣﺑﯾوﺗر ﺗﺗﻣﺛل ﻓﯾﻣﺎ ﯾﻠﻲ‪:‬‬
‫‪ -1‬ﻣرﺣﻠﺔ اﻟﺗﺻﻣﯾم )‪:(Design‬‬
‫ﻋﻣﻠﯾﺔ ﺗﺻﻣﯾم ﻓﯾروس ﺟدﯾد ﺗﺣﺗﺎج إﻟﻰ ﺷﺧص ﻋﻠﻰ درﺟﺔ ﻋﺎﻟﯾﺔ ﻣن اﻟﻛﻔﺎءة ﻓﻲ اﻟﺗﻌﺎﻣل ﻣﻊ ﻟﻐﺎت اﻟﺑرﻣﺟﺔ ﻋﻠﻰ اﻟﺣﺎﺳب اﻟﺷﺧﺻﻲ أو‬
‫ﻣﺟﻣوﻋﺎت اﻟﺑﻧﺎء )‪ .(Construction kits‬ﯾﻣﻛن ﻷي ﺷﺧص ﻟدﯾﮫ ﻣﻌرﻓﺔ ﺑﻠﻐﺎت اﻟﺑرﻣﺟﺔ اﻷﺳﺎﺳﯾﺔ إﻧﺷﺎء اﻟﻔﯾروﺳﺎت‪.‬‬
‫‪565‬‬
‫‪ -2‬اﻟﻧﺳﺦ‪/‬اﻻﻧﺗﺷﺎر )‪:(replication‬‬
‫ﯾﻘوم اﻟﻔﯾروس أوﻻ ﺑﺎﻟﺗﻛﺎﺛر داﺧل اﻟﻧظﺎم اﻟﻣﺳﺗﮭدف ﻋﻠﻰ ﻣدى ﻓﺗرات ﻣن اﻟزﻣن‪ .‬ﻋﺎدة ﻣﺎ ﯾﻘوم ﻣطورو اﻟﻔﯾروﺳﺎت ﺑﻧﺷر ﻓﯾروﺳﺎﺗﮭم ﻋﻠﻰ أﻛﺑر‬
‫ﻋدد ﻣن اﻟﺣﺎﺳﺑﺎت اﻟﺷﺧﺻﯾﺔ ﻗﺑل أن ﯾﺑدأ اﻟﻔﯾروس ﺑﺈﺣداث اﻵﺛﺎر اﻟﺗدﻣﯾرﯾﺔ اﻟﻣﻛﻠف ﺑﮭﺎ‪ ،‬اﻟﺳﺑب ﻓﻲ ذﻟك ھو ﻧﺷر أﻛﺑر ﻋدد ﻣن اﻟﻧﺳﺦ ﻗﺑل أن‬
‫ﺗﻧﺗﺑﮫ ﺷرﻛﺎت ﻣﻘﺎوﻣﺔ اﻟﻔﯾروﺳﺎت ﻟوﺟوده ﻓﺗﺿﻊ اﻟﺑراﻣﺞ اﻟﻣﺿﺎدة ﻟﮫ‪ ،‬ﻓﻲ ھذه اﻟﻣرﺣﻠﺔ ﺗﺻل اﻟﻔﯾروﺳﺎت إﻟﻰ ﺣﺎﺳﺑﺎت وﺗظل ﺑﮭﺎ دون أن ﺗظﮭر‬
‫أي أﻋراض ﻋﻠﻰ اﻟﺣﺎﺳﺑﺎت اﻟﻣﺻﺎﺑﺔ‪.‬‬
‫‪ -3‬اﻹطﻼق‪/‬اﻟﻧﺷﺎط )‪:(Lunch‬‬
‫ﺗﺑدأ اﻟﻔﯾروﺳﺎت ﻓﻲ اﻟﻧﺷﺎط وإﺣداث اﻵﺛﺎر اﻟﺗدﻣﯾرﯾﺔ اﻟﺗﻲ ﺗم ﺑرﻣﺟﺗﮭﺎ ﻟﻠﻘﯾﺎم ﺑﮭﺎ ﻋﻧد وﻗوع ﺣدث ﻣﻌﯾن‪ .‬ﻗد ﯾﺗم ﺑرﻣﺟﺔ اﻟﻔﯾروس ﻟﻛﻲ ﯾﻧﺷط ﻓﻲ‬
‫ﺗوﻗﯾت ﻣﻌﯾن أو ﻋﻧد ﺗﺷﻐﯾل ﺑرﻧﺎﻣﺞ ﻣﺎ أو ﻋﻧد اﻻﺗﺻﺎل ﺑﺷﺑﻛﺔ اﻹﻧﺗرﻧت أو ﻋﻧد وﺻول ﺟزء ﺛﺎﻧﻲ ﻣن اﻟﻔﯾروس إﻟﻰ اﻟﺣﺎﺳب اﻟﻣﺻﺎب‪ ،‬اﻵﺛﺎر‬
‫اﻟﺗدﻣﯾرﯾﺔ ﺗﺗﻧوع ﻣن ﺗدﻣﯾر ﻣﻠﻔﺎت ﻣﺧزﻧﮫ ﻋﻠﻰ اﻟﺣﺎﺳب أو اﺳﺗﮭﻼك اﻟﻣﺳﺎﺣﺎت اﻟﺧﺎﻟﯾﺔ ﻓﻲ وﺣدة اﻟﺗﺧزﯾن أو إﻟﻐﺎء ﺑراﻣﺞ أو ﺳرﻗﺔ ﻣﻌﻠوﻣﺎت‪.‬‬
‫‪ -4‬اﻛﺗﺷﺎف اﻟﻔﯾروس )‪:(Detection‬‬
‫ﯾﺗم اﻟﺗﻌرف ﻋﻠﻰ اﻟﻔﯾروس ﻋﻠﻰ أﻧﮭﮫ ﺗﮭدﯾدات ﺗﻘوم ﺑﺈﺻﺎﺑﺔ اﻷﻧظﻣﺔ اﻟﻣﺳﺗﮭدﻓﺔ‪ .‬ﻗد ﻻ ﺗﺗﺑﻊ ھذه اﻟﺧطوة داﺋﻣﺎ ﻋﻣﻠﯾﺔ ﻧﺷﺎط اﻟﻔﯾروس‪ ،‬ﻓﻘد ﺗﻛون‬
‫اﻟﺷرﻛﺎت اﻟﻣﻧﺗﺟﺔ ﻟﺑراﻣﺞ ﻣﻘﺎوﻣﺔ اﻟﻔﯾروﺳﺎت أﻛﺛر ذﻛﺎء‪ ،‬ﺑﺣﯾث ﺗﻛﺗﺷف وﺟود اﻟﻔﯾروس ﻗﺑل أن ﯾﻧﺷط‪.‬‬
‫ﻋﻧدﻣﺎ ﯾﺗم اﻛﺗﺷﺎف أي ﻓﯾروس ﺟدﯾد ﯾﺗم إﺑﻼغ ھﯾﺋﺔ ﺗﺳﻣﻰ ‪ icse‬ﻓﻲ واﺷﻧطن ﺑﺎﻟوﻻﯾﺎت اﻟﻣﺗﺣدة ﺑﻧوﻋﯾﺔ ھذا اﻟﻔﯾروس وطﺑﯾﻌﺗﮫ‪ ،‬ﻟﻛﻲ ﯾﺗم ﺗوﺛﯾﻖ‬
‫ھذه اﻟﻣﻌﻠوﻣﺎت وإرﺳﺎﻟﮭﺎ إﻟﻰ ﻛل اﻟﺷرﻛﺎت اﻟﻣﻧﺗﺟﺔ ﻟﺑراﻣﺞ ﻣﻘﺎوﻣﺔ اﻟﻔﯾروﺳﺎت‪.‬‬
‫‪ -5‬اﻟﻣواﺟﮭﺔ‪/‬اﻟﺗﺄﺳﯾس )‪:(Incorporation‬‬
‫ﻓﻲ ھذه اﻟﻣرﺣﻠﺔ ﺗﻘوم ﺷرﻛﺎت إﻧﺗﺎج ﺑراﻣﺞ ﻣﻘﺎوﻣﺔ اﻟﻔﯾروﺳﺎت ﺑﺗﻌدﯾل ﺑراﻣﺟﮭﺎ وﻣﻠﻔﺎﺗﮭﺎ ﻟﻛﻲ ﺗﺗﻌﺎﻣل ﻣﻊ اﻟﻔﯾروس اﻟﺟدﯾد‪ .‬وﻟﻛل ﻓﯾروس ﺑﺻﻣﺔ‬
‫ﺧﺎﺻﺔ ﺑﮫ )ھﻲ اﻟﻛود اﻟذي ﺗﻛﺗب ﺑﮫ أواﻣر اﻟﻔﯾروس ﺑﺄﺣد ﻟﻐﺎت اﻟﺣﺎﺳب(‪ ،‬وﯾﺗم إﺿﺎﻓﺔ ھذه اﻟﺑﺻﻣﺔ ﻟﻣﻠﻔﺎت اﻟﺑراﻣﺞ‪ .‬ﯾﻘوم اﻟﻣﺳﺗﺧدﻣﯾن ﺑﺗﻧزﯾل‬
‫اﻟﻣﻠﻔﺎت ﺑﻌد اﻟﺗﻌدﯾل ﻣن ﻋﻠﻰ ﻣوﻗﻊ اﻟﺷرﻛﺔ ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت‪ ،‬وﯾﻘوﻣون ﺑﺗﺣدﯾث ﺑراﻣﺞ اﻟﻣﻘﺎوﻣﺔ ﺑﮫ‪ ،‬ھذه اﻟﻣرﺣﻠﺔ ﻗد ﺗﺻل إﻟﻰ ﺳﺗﺔ أﺷﮭر‬
‫ﺣﺳب ﻧوع اﻟﻔﯾروس‪.‬‬
‫‪ -6‬اﻻﺳﺗﺋﺻﺎل‪/‬اﻹزاﻟﺔ )‪:(Elimination‬‬
‫ﺑﻌد ﻓﺗرة ﻣن ﻗﯾﺎم ﻋدد ﻛﺑﯾر ﻣن اﻟﻣﺳﺗﺧدﻣﯾن ﺑﺗﺣدﯾث ﺑراﻣﺟﮭم ﻟﻣﻘﺎوﻣﺔ اﻟﻔﯾروس ﺑﺎﻟﺗﻌدﯾﻼت اﻟﺗﻲ ﺗﻛﺗﺷف وﺗﻘﺿﻰ ﻋﻠﻰ اﻟﻔﯾروس‪ ،‬ﺗﻧﺣﺳر آﺛﺎر‬
‫ھذا اﻟﻔﯾروس ﺑﺣﯾث ﺗﻧﺧﻔض درﺟﺔ ﺗﮭدﯾده ﻟﻣﺟﺗﻣﻊ اﻟﻣﻌﻠوﻣﺎت اﻟﻌﺎﻟﻣﻲ‪ .‬ﻟم ﯾﺗم اﻟﺗﺄﻛد ﺣﺗﻰ اﻵن ﻣن أن أﺣد ﻓﯾروﺳﺎت اﻟﺣﺎﺳﺑﺎت ﻗد ﺗم اﻟﻘﺿﺎء‬
‫ﻋﻠﯾﮫ ﺗﻣﺎﻣﺎ ﺑﺣﯾث ﻻ ﯾوﺟد ﻋﻠﻰ أي ﺣﺎﺳب ﺷﺧﺻﻲ ﻓﻲ اﻟﻌﺎﻟم‪ ،‬وﻟﻛن ﻣﺋﺎت اﻟﻔﯾروﺳﺎت ﺗم اﻟﺣد ﻣن ﺧطورﺗﮭﺎ وﻣﺣﺎﺻرﺗﮭﺎ إﻟﻰ ﺣد ﻛﺑﯾر‪ ،‬ﺑﺣﯾث‬
‫ﻟم ﺗﻌد ﺗﺷﻛل أي ﺗﮭدﯾد ﻓﻲ اﻟوﻗت اﻟﺣﺎﻟﻲ ﻟﻣﺳﺗﺧدﻣﻲ اﻟﺣﺎﺳﺑﺎت اﻟﺷﺧﺻﯾﺔ أو اﻟﺧﺎدﻣﺔ‪.‬‬
‫‪Working of Viruses: Infection Phase‬‬ ‫طرﯾﻘﺔ ﻋﻣل اﻟﻔﯾروﺳﺎت‪ :‬ﻣرﺣﻠﺔ اﻟﻌدوى‬

‫اﻟﻔﯾروﺳﺎت ﺗﮭﺎﺟم اﻟﻧظﺎم اﻟﻣﺿﯾف اﻟﮭدف ﺑﺎﺳﺗﺧدام أﺳﺎﻟﯾب ﻣﺧﺗﻠﻔﺔ‪ .‬ﺣﯾث أﻧﮭﺎ ﺗﻘوم ﺑﻠﺻﻖ ﻧﻔﺳﮭﺎ ﺑﺎﻟﺑراﻣﺞ وﻧﻘل ﻧﻔﺳﮭﺎ إﻟﻰ ﺑراﻣﺞ أﺧرى ﻣن‬
‫ﺧﻼل اﻻﺳﺗﻔﺎدة ﻣن ﺑﻌض اﻷﺣداث‪ .‬اﻟﻔﯾروﺳﺎت ﺗﺣﺗﺎج إﻟﻰ ﻣﺛل ھذه اﻷﺣداث ﻟﺗﺄﺧذ ﻣﻛﺎن ﻟﮭﺎ ﻷﻧﮭﺎ ﻻ ﯾﻣﻛن أن‪:‬‬
‫‪ -‬ﺗﺑدأ ذاﺗﯾﺎ )‪(Self-start‬‬

‫‪ -‬ﺗﺻﯾب اﻷﺟﮭزة اﻷﺧرى )‪(Infect other hardware‬‬
‫‪ -‬ﺗﺳﺑب اﻷﺿرار اﻟﻣﺎدﯾﺔ إﻟﻰ ﻛﻣﺑﯾوﺗر )‪(Cause physical damage to a computer‬‬
‫‪ -‬ﺗﻧﻘل ﻧﻔﺳﮭﺎ ﺑﺎﺳﺗﺧدام ﻣﻠﻔﺎت ﻏﯾر ﻗﺎﺑﻠﺔ ﻟﻠﺗﻧﻔﯾذ )‪(Transmit themselves using non-executable files‬‬
‫ﻋﻣوﻣﺎ ﻋﻣل اﻟﻔﯾروﺳﺎت ﯾﻧﻘﺳم إﻟﻰ ﻣرﺣﻠﺗﯾن‪ ،‬ﻣرﺣﻠﺔ اﻟﻌدوى وﻣرﺣﻠﺔ اﻟﮭﺟوم‪.‬‬
‫ﻓﻲ ﻣرﺣﻠﺔ اﻟﻌدوى)‪ ، (Infection phase‬اﻟﻔﯾروس ﯾﻧﺳﺦ ﻧﻔﺳﮫ ﺛم ﯾﻘوم ﺑرﺑط اﻛواده اﻟﻰ اﻟﻣﻠف اﻟﻘﺎﺑل ﻟﻠﺗﻧﻔﯾذ )‪ (.exe‬ﻓﻲ اﻟﻧظﺎم‪.‬‬
‫اﻻن اﻟﺑراﻣﺞ اﻟﺗﻲ ﺗم ﺗﻌدﯾﻠﮭﺎ ﻧﺗﯾﺟﺔ اﻟﻌدوى ﺑﺎﻟﻔﯾروس ﺗﻘوم ﺑﺗﻣﻛﯾن وظﺎﺋف اﻟﻔﯾروس ﻟﺗﺷﻐﯾﻠﮭﺎ ﻋﻠﻰ ھذا اﻟﻧظﺎم‪ .‬اﻟﻔﯾروس ﯾﺻﺑﺢ ﺟﺎھزا ﻟﻠﻌﻣل‬
‫ﺑﻣﺟرد ﺗﺷﻐﯾل اﻟﺑرﻧﺎﻣﺞ اﻟﻣﺻﺎب ﺑﺎﻟﻔﯾروس‪ ،‬ﺣﯾث ان اﻛواد اﻟﺑراﻣﺞ ﺗؤدى اﻟﻰ اﻛواد اﻟﻔﯾروﺳﺎت‪ .‬ﻣطوري اﻟﻔﯾروﺳﺎت ﻟدﯾﮫ ﺑﻌض اﻟﺗﺣﻔظﺎت‬
‫ﻟﻠﺣﻔﺎظ ﻋﻠﻰ اﻟﺗوازن ﺑﯾن ﻋواﻣل ﻋده ﻣﺛل‪:‬‬
‫‪ -‬ﻛﯾف ﺳوف ﯾﺻﯾب اﻟﻔﯾروس؟‬
‫‪ -‬ﻛﯾف ﺳوف ﯾﻧﺗﺷر ھذا اﻟﻔﯾروس؟‬
‫‪ -‬ﻛﯾف ﺳوف ﯾﻘﯾم ﻓﻲ ذاﻛرة اﻟﻛﻣﺑﯾوﺗر اﻟﮭدف ﻣن دون أن ﯾﺗم اﻛﺗﺷﺎﻓﮫ؟‬
‫ﻣن اﻟواﺿﺢ‪ ،‬أن اﻟﻔﯾروﺳﺎت ﯾﻣﻛن ﺗﺷﻐﯾﻠﮭﺎ وﺗﻧﻔﯾذھﺎ ﻟﻛﻲ ﺗﻘوم ﺑوظﯾﻔﺔ ﻣﺎ‪ .‬ھﻧﺎك اﻟﻌدﯾد ﻣن اﻟطرق ﻟﺗﻧﻔﯾذ اﻟﺑراﻣﺞ ﻋﻧدﻣﺎ ﯾﻛون ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر‬
‫ﻓﻲ وﺿﻊ اﻟﻌﻣل‪ .‬ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل‪ ،‬ﺣﯾث ﻋﻧدﻣﺎ ﯾﺗم ﺗﺛﺑﯾت أي ﻣن اﻟﺑراﻣﺞ ﻓﺎﻧﮫ ﺳوف ﯾﺳﺗدﻋﻰ اﻟﻌدﯾد ﻣن اﻟﺑراﻣﺞ اﻷﺧرى اﻟﺗﻲ ﺗم إﻧﺷﺎﺋﮭﺎ‬

‫‪566‬‬
‫واﺻﺑﺣت ﻣن ﺻﻠب اﻟﻧظﺎم)‪ ، (built into a system‬وﺑﻌض ﻣن ھذه اﻟﺑراﻣﺞ ﻣﺗوﺳطﺔ اﻟﺗوزﯾﻊ‪ .‬وﺑﺎﻟﺗﺎﻟﻲ‪ ،‬ﻓﺈذا ﻛﺎن ﺑرﻧﺎﻣﺞ اﻟﻔﯾروس‬
‫ﻣوﺟود ﺑﺎﻟﻔﻌل‪ ،‬ﻓﺈﻧﮫ ﯾﻣﻛن ﺗﻔﻌﯾﻠﮭﺎ ﻣﻊ ھذا اﻟﻧوع ﻣن اﻟﺗﻧﻔﯾذ )‪(execution‬وإﺻﺎﺑﺗﮫ اﻟﻌدﯾد ﻣن اﻟﺑراﻣﺞ اﻟﻣﺛﺑﺗﺔ اﻻﺿﺎﻓﯾﺔ ﻛذﻟك‪.‬‬
‫ﯾﺑدأ اﻟﻔﯾروس دورة ﺣﯾﺎﺗﮫ ﻋﻠﻰ اﻟﺟﮭﺎز ﺑﺷﻛل ﻣﺷﺎﺑﮫ ﻟﺑرﻧﺎﻣﺞ ﺣﺻﺎن طروادة‪ ،‬ﻓﮭو ﯾﺧﺗﺑﺊ ﻓﻲ ﺛﻧﺎﯾﺎ ﺑرﻧﺎﻣﺞ أو ﻣﻠف آﺧر‪ ،‬وﯾﻧﺷط ﻣﻌﮫ‪ .‬ﻓﻲ‬
‫اﻟﻣﻠﻔﺎت اﻟﺗﻧﻔﯾذﯾﺔ اﻟﻣﻠوﺛﺔ‪ ،‬ﯾﻛون اﻟﻔﯾروس ﻗد أﺿﺎف اﻛواده إﻟﻰ اﻟﺑرﻧﺎﻣﺞ اﻷﺻﻠﻲ‪ ،‬وﻋدل ﺗﻌﻠﯾﻣﺎﺗﮫ ﺑﺣﯾث ﯾﻧﺗﻘل اﻟﺗﻧﻔﯾذ إﻟﻰ اﻛواد اﻟﻔﯾروس‪ .‬وﻋﻧد‬
‫ﺗﺷﻐﯾل اﻟﻣﻠف اﻟﺗﻧﻔﯾذي اﻟﻣﺻﺎب‪ ،‬ﯾﻘﻔز اﻟﺑرﻧﺎﻣﺞ ﻋﺎدة إﻟﻰ ﺗﻌﻠﯾﻣﺎت اﻟﻔﯾروس‪ ،‬ﻓﯾﻧﻔذھﺎ‪ ،‬ﺛم ﯾﻌود ﺛﺎﻧﯾﺔ ﻟﺗﻧﻔﯾذ ﺗﻌﻠﯾﻣﺎت اﻟﺑرﻧﺎﻣﺞ اﻷﺻﻠﻲ‪ .‬وﻋﻧد ھذه‬
‫اﻟﻧﻘطﺔ ﯾﻛون اﻟﻔﯾروس ﻧﺎﺷطﺎً‪ ،‬وﺟﮭﺎزك أﺻﺑﺢ ﻣﻠوﺛﺎ ً‪ .‬وﻗد ﯾﻧﻔذ اﻟﻔﯾروس ﻣﮭﻣﺗﮫ ﻓور ﺗﻧﺷﯾطﮫ )وﯾطﻠﻖ ﻋﻠﯾﮫ ﻓﯾروس اﻟﻌﻣل اﻟﻣﺑﺎﺷر‬
‫)‪ ،(direct-action‬أو ھﻧﺎك اﻟﺑﻌض اﻻﺧر ﻻ ﯾﺻﯾب اﻟﺟﮭﺎز ﺑﻣﺟرد ﺗﻧﻔﯾذھﺎ ﺑل ﯾﻘﺑﻊ ﻣﻧﺗظرا ً ﻓﻲ اﻟذاﻛرة ﻣﻧﺗظرا ﺣدﺛﺎ ﻣﻌﯾﻧﺎ‪ ،‬ﺑﺎﺳﺗﺧدام وظﯾﻔﺔ‬
‫"اﻹﻧﮭﺎء واﻟﺑﻘﺎء ﻓﻲ اﻟذاﻛرة" )‪ ،( TSR،terminate and stay resident‬اﻟﺗﻲ ﺗؤﻣﻧﮭﺎ ﻧظم اﻟﺗﺷﻐﯾل ﻋﺎدة‪ .‬وﺑﺎﻟﺗﺎﻟﻲ‪ ،‬ﻣن اﻟﺻﻌب أن ﯾﺗم‬
‫اﻟﺗﻌرف ﻋﻠﯾﮫ وﺗﻧﺗﻣﻲ ﻏﺎﻟﺑﯾﺔ اﻟﻔﯾروﺳﺎت ﻟﮭذه اﻟﻔﺋﺔ‪ ،‬وﯾطﻠﻖ ﻋﻠﯾﮭﺎ اﻟﻔﯾروﺳﺎت "اﻟﻣﻘﯾﻣﺔ"‪ .‬وﻧظراً ﻟﻺﻣﻛﺎﻧﯾﺎت اﻟﻛﺑﯾرة اﻟﻣﺗﺎﺣﺔ ﻟﻠﺑراﻣﺞ اﻟﻣﻘﯾﻣﺔ ﻓﻲ‬
‫اﻟذاﻛرة‪ ،‬ﺑدءا ً ﻣن ﺗﺷﻐﯾل اﻟﺗطﺑﯾﻘﺎت واﻟﻧﺳﺦ اﻻﺣﺗﯾﺎطﻲ ﻟﻠﻣﻠﻔﺎت إﻟﻰ ﻣراﻗﺑﺔ ﺿﻐطﺎت ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ وﻧﻘرات اﻟﻣﺎوس )واﻟﻛﺛﯾر ﻣن اﻷﻋﻣﺎل‬
‫اﻷﺧرى(‪ ،‬ﻓﯾﻣﻛن ﺑرﻣﺟﺔ اﻟﻔﯾروس اﻟﻣﻘﯾم‪ ،‬ﻟﺗﻧﻔﯾذ أي ﻋﻣل ﯾﻣﻛن أن ﯾﻘوم ﺑﮫ ﻧظﺎم اﻟﺗﺷﻐﯾل‪ ،‬ﺗﻘرﯾﺑﺎ ً‪ .‬ﯾﻣﻛن ﺗﺷﻐﯾل اﻟﻔﯾروس اﻟﻣﻘﯾم ﻛﻘﻧﺑﻠﺔ‪ ،‬ﻓﯾﺑدأ‬
‫ﻣﮭﻣﺗﮫ ﻋﻠﻰ ﺟﮭﺎزك ﻋﻧد ﺣدث ﻣﻌﯾن‪ .‬وﻣن اﻷﻣور اﻟﺗﻲ ﺗﺳﺗطﯾﻊ اﻟﻔﯾروﺳﺎت اﻟﻣﻘﯾﻣﺔ ﻋﻣﻠﮭﺎ‪ ،‬ﻓﺣص )‪ (scan‬ﻗرﺻك اﻟﺻﻠب وأﻗراص اﻟﺷﺑﻛﺔ‬
‫ﺑﺣﺛﺎ ً ﻋن اﻟﻣﻠﻔﺎت اﻟﺗﻧﻔﯾذﯾﺔ‪ ،‬ﺛم ﻧﺳﺦ ﻧﻔﺳﮭﺎ إﻟﻰ ھذه اﻟﻣﻠﻔﺎت وﺗﻠوﯾﺛﮭﺎ‪.‬‬
‫ﻓﻠﻧﻧظر إﻟﻰ اﻟﺷﻛل اﻟﺗﺎﻟﻲ ﻟﻧرى ﻛﯾف ﯾﻌﻣل ﻣﻠف‪ EXE‬ﻣﻌدى‪.‬‬
‫ﻓﻲ ھذا اﻟﺷﻛل‪ ،‬ﺣﯾث ﻧﺟد أن رأس ﻣﻠف‪ ، EXE‬ﻋﻧدﻣﺎ ﯾﺗم ﺗﺷﻐﯾﻠﮫ‪ ،‬ﻓﺈﻧﮭﺎ ﺗﺑدأ ﺗﺷﻐﯾل اﻟﺗطﺑﯾﻖ‪ .‬وﻟﻛن ﺑﻣﺟرد إﺻﺎﺑﺔ ھذا اﻟﻣﻠف‪ ،‬ﻓﺎﻧﮫ ﯾذھب أوﻻ‬
‫اﻟﻰ اﻟﺗﻌﻠﯾﻣﺎت اﻟﺧﺎﺻﺔ ﺑﺄﻛواد اﻟﻔﯾروس ﻟﺗﺷﻐﯾﻠﮭﺎ أوﻻ ﺛم ﯾﻧﺗﻘل اﻟﻰ اﻛواد اﻟﺗطﺑﯾﻖ اﻟﻣراد ﺗﺷﻐﯾﻠﮫ‪.‬‬
‫‪ -‬ﯾﻘوم اﻟﻔﯾروس ﺑﺈﺻﺎﺑﺔ اﻟﻣﻠﻔﺎت ﻋن طرﯾﻖ رﺑط ﻧﻔﺳﮫ إﻟﻰ ﺑرﻧﺎﻣﺞ ﺗطﺑﯾﻖ ﻗﺎﺑل ﻟﻠﺗﻧﻔﯾذ‪ .‬اﻟﻣﻠﻔﺎت اﻟﻧﺻﯾﺔ ﻣﺛل ‪ ،source code‬ﻣﻠﻔﺎت‬
‫‪ patches‬وﻣﻠﻔﺎت اﻻﺳﻛرﯾﺑت‪ ،‬وﻣﺎ إﻟﻰ ذﻟك‪ ،‬ﺗﻌﺗﺑر أھداﻓﺎ ﻣﺣﺗﻣﻠﺔ ﻟﻠﻌدوى ﺑﺎﻟﻔﯾروس‪.‬‬
‫‪ -‬ﻓﯾروﺳﺎت ﻗطﺎع اﻟﺗﺷﻐﯾل )‪ (Boot Sector Virus‬ﺗﻘوم ﺑﺗﻧﻔﯾذ اﻷﻛواد اﻟﺧﺎﺻﺔ ﺑﮭﺎ ﻓﻲ اﻟﻣﻘﺎم اﻷول ﻗﺑل أن ﯾﺗم ﺗﺷﻐﯾل اﻟﻛﻣﺑﯾوﺗر‬
‫اﻟﮭدف وھو ﻣن أﺧطر أﻧواع اﻟﻔﯾروﺳﺎت ﺣﯾث اﻧﮫ ﻣن اﻟﻣﻣﻛن أن ﯾﻣﻧﻌك ﻣن ﺗﺷﻐﯾل اﻟﺟﮭﺎز‪.‬‬
‫ﻓﻲ ﻣرﺣﻠﺔ اﻟﮭﺟوم )‪ ،(Attack phase‬ﺑﻣﺟرد أن ﺗﻘوم اﻟﻔﯾروﺳﺎت ﺑﺎﻻﻧﺗﺷﺎر ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻟﻧظﺎم اﻟﮭدف‪ ،‬ﻓﺈﻧﮭﺎ ﺗﺑدأ ﺑﺈﻓﺳﺎد اﻟﻣﻠﻔﺎت‬
‫واﻟﺑراﻣﺞ ﻓﻲ اﻟﻧظﺎم اﻟﻣﺿﯾف‪ .‬ﺑﻌض اﻟﻔﯾروﺳﺎت ﺗﺣﺗﺎج اﻟﻰ ﺑﻌض اﻻﺣداث واﻟﺗﻲ ﺗﻌﺗﺑر اﻟزﻧﺎد ﻟﻠﺗﻧﺷﯾط ﻹﻓﺳﺎد اﻟﻧظﺎم اﻟﻣﺿﯾف‪ .‬ﺑﻌض‬
‫اﻟﻔﯾروﺳﺎت ﻟﮭﺎ ‪ bugs‬واﻟﺗﻲ ﺗﻛرر ﻧﻔﺳﮭﺎ‪ ،‬واﻟﻘﯾﺎم ﺑﺑﻌض اﻷﻧﺷطﺔ ﻣﺛل ﺣذف اﻟﻣﻠﻔﺎت وزﯾﺎدة وﻗت اﻟدورة‪.‬‬
‫ﺣﯾث أﻧﮭﺎ ﺗﻘوم ﺑﺈﻓﺳﺎد اﻷھداف ﻓﻘط ﺑﻌد ﻧﺷرھﺎ ﻋﻠﻰ اﻟﻧﺣو اﻟﻣﻧﺷود ﻣن ﻗﺑل اﻟﻣطورﯾن‪ .‬ﻣﻌظم اﻟﻔﯾروﺳﺎت اﻟﺗﻲ ﺗﮭﺎﺟم اﻷﻧظﻣﺔ اﻟﮭدف ﺗﻘوم‬
‫ﺑﺗﻧﻔﯾذ إﺟراءات ﻣﺛل اﻻﺗﻲ‪:‬‬
‫‪ -‬ﺣذف اﻟﻣﻠﻔﺎت وﺗﻐﯾﯾر اﻟﻣﺣﺗوﯾﺎت ﻓﻲ ﻣﻠﻔﺎت اﻟﺑﯾﺎﻧﺎت‪ ،‬وﺑﺎﻟﺗﺎﻟﻲ ﺗﺳﺑب إﺑطﺎء اﻟﻧظﺎم‪.‬‬
‫‪ -‬أداء ﺑﻌض اﻟﻣﮭﺎم ﻟﯾس ﻟﮭﺎ ﻋﻼﻗﺔ ﺑﺎﻟﺗطﺑﯾﻘﺎت‪ ،‬ﻣﺛل ﺗﺷﻐﯾل اﻟﻣوﺳﯾﻘﻰ وإﻧﺷﺎء اﻟرﺳوم اﻟﻣﺗﺣرﻛﺔ‪.‬‬

‫‪567‬‬
‫ﺑﺎﻟرﺟوع إﻟﻰ ھذه اﻟﺻورة اﻟﺳﺎﺑﻘﺔ‪ ،‬ﻓﻧﺟد أﻧﻧﺎ ﻋﻧدﻧﺎ اﺛﻧﯾن ﻣن اﻟﻣﻠﻔﺎت ‪ A‬و ‪ .B‬ﻓﻲ اﻟﻣﻘطﻊ اﻷول‪ ،‬ﻧﺟد أن اﻟﻣﻠﻔﯾن ﯾﻘﻌوا واﺣدا ﺗﻠو اﻵﺧر‬
‫ﺑطرﯾﻘﺔ ﻣﻧظﻣﺔ‪ .‬ﺑﻣﺟرد ﻗﯾﺎم اﻛواد اﻟﻔﯾروس ﺑﺈﺻﺎﺑﺔ اﻟﻣﻠف‪ ،‬ﻓﺈﻧﮫ ﯾﻘوم ﺑﺗﻐﯾر ﻣواﻗﻊ اﻟﻣﻠﻔﺎت اﻟﺗﻲ ﺗم وﺿﻌﮭﺎ ﻋﻠﻰ اﻟﺗواﻟﻲ‪ ،‬ﻣﻣﺎ ﯾؤدي إﻟﻰ ﻋدم‬
‫اﻟدﻗﺔ ﻓﻲ ﺗﺧﺻﯾص ﻣواﻗﻊ اﻟﻣﻠﻔﺎت‪ ،‬واﻟﺗﻲ ﺗﺳﺑب إﺑطﺎء اﻟﻧظﺎم ﻋﻧد ﻣﺣﺎوﻟﺔ اﻟﻣﺳﺗﺧدﻣﯾن اﺳﺗرﺟﺎع ﻣﻠﻔﺎﺗﮭم‪ .‬ﻓﻲ ھذه اﻟﻣرﺣﻠﺔ‪:‬‬
‫‪ -‬اﻟﻔﯾروﺳﺎت ﺗﻌﻣل ﻋﻧدﻣﺎ ﯾﺗم ﺗﺷﻐﯾل ﺑﻌض اﻷﺣداث‪.‬‬
‫‪ -‬ﺑﻌﺿﮭﺎ ﯾﻌﺗﻣد ﻓﻲ ﺗﺷﻐﯾﻠﮫ واﻓﺳﺎده ﻋﺑر أﺧطﺎء )‪ (BUGS‬اﻟﺑراﻣﺞ اﻟﻣدﻣﺟﺔ ﺑﻌد ﺗﺧزﯾﻧﮫ ﻓﻲ اﻟذاﻛرة اﻟﻣﺿﯾف‬
‫‪ -‬ﺗﺗم ﻛﺗﺎﺑﺔ ﻣﻌظم اﻟﻔﯾروﺳﺎت ﻹﺧﻔﺎء وﺟودھﺎ‪ ،‬واﻟﮭﺟوم ﯾﺑدا ﺑﻌد ان ﺗﻧﺗﺷر ﻓﻲ اﻟﻣﺿﯾف إﻟﻰ أﻗﺻﻰ ﺣد‪.‬‬
‫ﻟﻣﺎذا ﯾﻠﺟﺎ اﻟﻧﺎس اﻟﻰ إﻧﺷﺎء ﻓﯾروﺳﺎت اﻟﻛﻣﺑﯾوﺗر؟‬

‫ﻓﯾروﺳﺎت اﻟﻛﻣﺑﯾوﺗر ﻻ ﺗوﻟد ذاﺗﯾﺎ‪ ،‬وﻟﻛن ﯾﺗم إﻧﺷﺎؤھﺎ ﻣن ﻗﺑل اﻟﻌﻘول اﻟﺳﯾﺑراﻧﯾﺔ اﻟﺟﻧﺎﺋﯾﺔ)‪ ، (cyber-criminal‬ﻣﺻﻣﻣﺔ ﻋﻣدا ﻟﺗﺗﺳﺑب ﻓﻲ‬
‫اﻟﺣوادث اﻟﻣدﻣرة ﻓﻲ اﻟﻧظﺎم‪ .‬ﻋﻣوﻣﺎ‪ ،‬ﯾﺗم إﻧﺷﺎء اﻟﻔﯾروﺳﺎت ﻣﻊ وﺟود داﻓﻊ ﺳﻲء اﻟﺳﻣﻌﺔ‪ .‬ﻣﺟرﻣﻲ اﻹﻧﺗرﻧت ﯾﻧﺷؤا اﻟﻔﯾروﺳﺎت ﻟﺗدﻣﯾر اﻟﺑﯾﺎﻧﺎت‬
‫ﻓﻲ اﻟﺷرﻛﺔ‪ ،‬ﻛﻌﻣل ﻣن أﻋﻣﺎل اﻟﺗﺧرﯾب أو اﻟﻣزﺣﺔ‪ ،‬أو ﻟﺗدﻣﯾر ﻣﻧﺗﺟﺎت اﻟﺷرﻛﺔ‪ .‬وﻣﻊ ذﻟك‪ ،‬ﻓﻲ ﺑﻌض اﻟﺣﺎﻻت‪ ،‬ﻓﺎن اﻟﻣﻘﺻود ﻣن اﻟﻔﯾروﺳﺎت‬
‫ﻓﻲ اﻟواﻗﻊ أن ﺗﻛون ﺟﯾدة ﻟﻠﻧظﺎم‪ .‬وﻗد ﺻﻣﻣت ھذه ﻟﺗﺣﺳﯾن أداء اﻟﻧظﺎم ﻋن طرﯾﻖ ﺣذف اﻟﻔﯾروﺳﺎت اﻟﻣدﻣﺟﺔ ﺳﺎﺑﻘﺎ ﻓﻲ اﻟﻣﻠﻔﺎت‪.‬‬
‫ﻓﯾﻣﺎ ﯾﻠﻲ ﺑﻌض اﻷﺳﺑﺎب اﻟﺗﻲ أدت اﻟﻰ ﻛﺗﺎﺑﺔ اﻟﻔﯾروﺳﺎت وﺗﺷﻣل اﻻﺗﻲ‪:‬‬
‫‪ -‬إﻟﺣﺎق اﻟﺿرر ﺑﺎﻟﻣﻧﺎﻓﺳﯾن ‪inflict damage to competitors‬‬
‫‪ -‬ﻣﺷﺎرﯾﻊ ﺑﺣﺛﯾﺔ ‪Research projects‬‬
‫‪ -‬اﻟﻣزح ‪Pranks‬‬
‫‪ -‬اﻟﺗﺧرﯾب ‪Vandalism‬‬
‫‪ -‬ﻣﮭﺎﺟﻣﺔ ﻣﻧﺗﺟﺎت ﺷرﻛﺎت ﻣﺣددة ‪Attack the products of specific companies‬‬
‫‪ -‬ﺗوزﯾﻊ رﺳﺎﺋل ﺳﯾﺎﺳﯾﺔ ‪Distribute political messages‬‬
‫‪ -‬ﺗﺣﻘﯾﻖ ﻣﻛﺎﺳب ﻣﺎﻟﯾﺔ ‪Financial gain‬‬
‫‪ -‬ﺳرﻗﺔ اﻟﮭوﯾﺔ ‪Identity theft‬‬
‫‪ -‬ﺑراﻣﺞ اﻟﺗﺟﺳس ‪Spyware‬‬
‫‪ -‬اﻻﺑﺗزاز ‪Cryptoviral extortion‬‬
‫اﻟﻣؤﺷرات ﻋﻠﻰ ھﺟﻣﺎت اﻟﻔﯾروﺳﺎت‬

‫اﻟﻔﯾروس اﻟﻔﻌﺎﻟﺔ ﺗﻣﯾل إﻟﻰ أن ﺗﺗﻛﺎﺛر ﺑﺳرﻋﺔ وﯾﻣﻛن أن ﺗﺻﯾب ﻋددا ﻣن اﻵﻻت ﻓﻲ ﻏﺿون ﺛﻼﺛﺔ إﻟﻰ ﺧﻣﺳﺔ أﯾﺎم‪ .‬ﯾﻣﻛن ﻟﻠﻔﯾروﺳﺎت أن ﺗﺻﯾب‬
‫ﻣﻠﻔﺎت ‪ Word‬واﻟﺗﻲ ﻋﻧد ﻧﻘﻠﮭﺎ‪ ،‬ﯾﻣﻛن أن ﺗﺻﯾب أﺟﮭزة اﻟﻣﺳﺗﺧدﻣﯾن اﻟذﯾن ﯾﺣﺻﻠون ﻋﻠﯾﮭﺎ‪ .‬وﯾﻣﻛن ﻟﻠﻔﯾروس أﯾﺿﺎ اﻻﺳﺗﻔﺎدة ﻣن ﺧوادم‬
‫اﻟﻣﻠﻔﺎت ﻣن أﺟل أن ﺗﺻﯾب اﻟﻣﻠﻔﺎت‪ .‬وﻓﯾﻣﺎ ﯾﻠﻲ ﻣؤﺷرات ﻋﻠﻰ وﺟود ھﺟوم اﻟﻔﯾروس ﻋﻠﻰ ﻧظﺎم اﻟﻛﻣﺑﯾوﺗر‪:‬‬
‫اﻟﺑراﻣﺞ ﺗﺳﺗﻐرق وﻗﺗﺎ أطول ﻟﻠﺗﺣﻣﯾل‪.‬‬ ‫‪-‬‬

‫اﻟﻘرص اﻟﺻﻠب داﺋﻣﺎ ﻣﻣﺗﻠﺊ ﻻ ﯾﺣﺗوي ﻋﻠﻰ ﻣﺳﺎﺣﺔ ﻓﺎرﻏﮫ‪ ،‬ﺣﺗﻰ ﻣن دون ﺗﺛﺑﯾت أي ﻣن اﻟﺑراﻣﺞ‪.‬‬ ‫‪-‬‬
‫ﻣﺣرك اﻷﻗراص اﻟﻣرﻧﺔ )‪ (Floppy disk‬أو اﻟﻘرص اﻟﺻﻠب ﺗﺟده ﯾﻌﻣل ﺣﺗﻰ ﻓﻲ أوﻗﺎت ﻋدم اﺳﺗﺧداﻣﮫ‪.‬‬ ‫‪-‬‬
‫ﻣﻠﻔﺎت ﻣﺟﮭوﻟﺔ ﺗﺣﺎﻓظ ﻋﻠﻰ اﻟظﮭور ﻋﻠﻰ اﻟﻧظﺎم‪.‬‬ ‫‪-‬‬
‫ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ أو اﻟﻛﻣﺑﯾوﺗر ﺗﺑﻌث أﺻوات ﻏرﯾﺑﺔ أو اﻟﺗﺻﻔﯾر‪.‬‬ ‫‪-‬‬
‫ﺷﺎﺷﺔ اﻟﻛﻣﺑﯾوﺗر ﯾﻌرض رﺳوﻣﺎت ﻏرﯾﺑﺔ‪.‬‬ ‫‪-‬‬
‫ﺗﺣوﯾل أﺳﻣﺎء اﻟﻣﻠﻔﺎت اﻟﻰ أﺳﻣﺎء ﻏرﯾﺑﺔ‪ ،‬وﻏﺎﻟﺑﺎ ﻣﺎ ﯾﺻﻌب اﻟﺗﻌرف ﻋﻠﯾﮭﺎ‪.‬‬ ‫‪-‬‬
‫ﯾﺻﺑﺢ اﻟﻘرص اﻟﺻﻠب ﻻ ﯾﻣﻛن اﻟوﺻول إﻟﯾﮫ ﻋﻧد ﻣﺣﺎوﻟﺔ اﻟﺗﺷﻐﯾل ﻣن ﻣﺣرك أﻗراص ﻣرﻧﺔ )‪(Floppy disk – CDROM‬‬ ‫‪-‬‬
‫ﺣﺟم اﻟﺑراﻣﺞ ﯾﺗﻐﯾر ﺑﺎﺳﺗﻣرار‪.‬‬ ‫‪-‬‬
‫اﻟذاﻛرة ﻋﻠﻰ اﻟﻧظﺎم ﺗﺑدو ﻗﯾد اﻻﺳﺗﺧدام واﻟﻧظﺎم ﺑطﻲء‪.‬‬ ‫‪-‬‬

‫‪568‬‬
‫ﻛﯾف ﯾﺻﺑﺢ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر ﻣﺻﺎﺑﺎ ﺑﺎﻟﻔﯾروﺳﺎت؟‬

‫ھﻧﺎك اﻟﻌدﯾد ﻣن اﻟطرق اﻟﺗﻲ ﯾﺻﺎب ﺑﮭﺎ ﺟﮭﺎز ﻛﻣﺑﯾوﺗر ﻋن طرﯾﻖ اﻟﻔﯾروﺳﺎت‪ .‬اﻷﺳﺎﻟﯾب اﻷﻛﺛر ﺷﻌﺑﯾﺔ ھﻲ ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ‪:‬‬
‫ﻋﻧدﻣﺎ ﯾﻘﺑل اﻟﻣﺳﺗﺧدﻣﯾن اﻟﻣﻠﻔﺎت واﻟﺗﻧزﯾﻼت دون اﻟﺗﺣﻘﻖ ﺑﺷﻛل ﺻﺣﯾﺢ ﻣن اﻟﻣﺻدر‪.‬‬ ‫‪-‬‬
‫اﻟﻣﮭﺎﺟﻣون ﻋﺎدة ﯾﻘوﻣون ﺑﺈرﺳﺎل اﻟﻣﻠﻔﺎت اﻟﻣﺻﺎﺑﺔ ﺑﺎﻟﻔﯾروﺳﺎت ﻛﻣرﻓﻘﺎت ﻟﻠﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻟﻧﺷر اﻟﻔﯾروﺳﺎت ﻋﻠﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ‪ .‬إذا‬ ‫‪-‬‬
‫ﻓﺗﺢ اﻟﺿﺣﯾﺔ اﻟﺑرﯾد‪ ،‬ﻓﺎن اﻟﻔﯾروس ﯾﺻﯾب اﻟﻧظﺎم ﺗﻠﻘﺎﺋﯾﺎ‪.‬‬
‫اﻟﻣﮭﺎﺟﻣﯾن ﯾﻘوﻣون ﺑدﻣﺞ اﻟﻔﯾروﺳﺎت ﻓﻲ اﻟﺑراﻣﺞ اﻟﺷﻌﺑﯾﺔ وﺗﺣﻣﯾل اﻟﺑرﻣﺟﯾﺎت اﻟﻣﺻﺎﺑﺔ ﻋﻠﻰ ﻣواﻗﻊ ﺗﮭدف إﻟﻰ ﺗﺣﻣﯾل اﻟﺑرﻣﺟﯾﺎت‪.‬‬ ‫‪-‬‬
‫ﻋﻧدﻣﺎ ﯾﻘوم اﻟﺿﺣﯾﺔ ﺑﺗﺣﻣﯾل اﻟﺑراﻣﺞ اﻟﻣﺻﺎﺑﺔ وﺗﺛﺑﯾﺗﮫ‪ ،‬ﻓﺎن اﻟﻧظﺎم ﯾﺻﺎب‪.‬‬
‫ﻓﺷل ﻓﻲ ﺗﺛﺑﯾت إﺻدارات ﺟدﯾدة أو ﺗﺣدﯾث ﻣﻊ أﺣدث ‪ Patch‬واﻟﺗﻲ ﺗﮭدف إﻟﻰ إﺻﻼح اﻷﺧطﺎء اﻟﻣﻌروﻓﺔ ﻗد ﯾﻌرض اﻟﻧظﺎم‬ ‫‪-‬‬
‫ﻟﻠﻔﯾروﺳﺎت‪.‬‬
‫ﻣﻊ اﻟﺗﻛﻧوﻟوﺟﯾﺎ اﻟﻣﺗزاﯾدة‪ ،‬ﻓﺎن اﻟﻣﮭﺎﺟﻣون أﯾﺿﺎ ﺗﻘوم ﺑﺗﺻﻣﯾم ﻓﯾروﺳﺎت ﺟدﯾدة‪ .‬اﻟﻔﺷل ﻓﻲ اﺳﺗﺧدام أﺣدث اﻟﺗطﺑﯾﻘﺎت ﻟﻣﻛﺎﻓﺣﺔ‬ ‫‪-‬‬
‫اﻟﻔﯾروﺳﺎت ﻗد ﯾﻌرﺿك ﻟﮭﺟﻣﺎت اﻟﻔﯾروﺳﺎت‪.‬‬
‫اﻟﺗﻘﻧﯾﺎت اﻷﻛﺛر ﺷﻌﺑﯾﮫ واﻟﺗﻲ ﺗﺳﺗﺧدم ﻟﺗوزﯾﻊ اﻟﺑراﻣﺞ اﻟﺿﺎرة ﻋﻠﻰ اﻹﻧﺗرﻧت‬
‫اﻟﻣﺻدر‪Security Threat Report 2012 (http://www.sophos.com/en-us.aspx) :‬‬
‫‪ :Blackhat Search Engine Optimization (SEO) -‬ﺑﺎﺳﺗﺧدام ھذه اﻟﺗﻘﻧﯾﺔ ﯾﻘوم اﻟﻣﮭﺎﺟم ﺑﺗﻌﻠﯾﺔ ﻣرﺗﺑﺔ اﻟﺻﻔﺣﺎت اﻟﺧﺑﯾﺛﺔ‬
‫اﻟﻰ درﺟﮫ ﻋﺎﻟﯾﺔ ﻓﻲ ﻧﺗﺎﺋﺞ اﻟﺑﺣث‪.‬‬
‫‪ :Social Engineered Click-jacking -‬اﻟﻣﮭﺎﺟﻣﯾن ﯾﻘوﻣون ﺑﺧداع اﻟﻣﺳﺗﺧدﻣﯾن ﺑﺎﻟﻧﻘر ﻋﻠﻰ ﺻﻔﺣﺎت اﻟوﯾب اﻟﺗﻲ ﺗظﮭر وﻛﺄﻧﮭﺎ‬
‫ﺑرﯾﺋﺔ وﺳﻠﯾﻣﺔ اﻟﻣظﮭر وﻟﻛﻧﮭﺎ ﻓﻲ اﻟواﻗﻊ ﺗﺣﺗوي ﻋﻠﻰ اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ‪.‬‬
‫‪ :Spearphishing Sites -‬ﯾﺗم اﺳﺗﺧدام ھذه اﻟﺗﻘﻧﯾﺔ ﻟﻣﺣﺎﻛﺎة اﻟﻣؤﺳﺳﺎت اﻟﺷرﻋﯾﺔ‪ ،‬ﻣﺛل اﻟﺑﻧوك‪ ،‬ﻓﻲ ﻣﺣﺎوﻟﺔ ﻟﺳرﻗﺔ ﺑﯾﺎﻧﺎت دﺧول‬
‫اﻟﺣﺳﺎب‬
‫‪ :Malvertising -‬ﺣﯾث ﯾﺗم ﺗﺿﻣﯾن اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﻓﻲ اﻟﺷﺑﻛﺔ اﻹﻋﻼﻧﯾﺔ )‪ (AD network‬اﻟﺗﻲ ﺗﻌرض ﻋﺑر ﻣﺋﺎت اﻟﻣواﻗﻊ‬
‫اﻟﻣﺷروﻋﺔ‪ ،‬وذات ﺣرﻛﺔ اﻟﻣرور اﻟﻌﺎﻟﯾﺔ‪.‬‬
‫‪ :Compromised Legitimate Websites -‬اﻟﻣﺿﯾﻔﯾن ﯾﺳﺗﺿﯾﻔون اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ واﻟﺗﻲ ﺗﻧﺗﺷر ﻋﺑر اﻟزوار اﻟﻐﺎﻓﻠﯾن‪.‬‬
‫‪ :Drive-by Downloads -‬اﻟﻣﮭﺎﺟم ﯾﺳﺗﻐل ﺑﻌض اﻟﺛﻐرات ﻓﻲ ﺑرﻧﺎﻣﺞ اﻟﻣﺗﺻﻔﺢ ﻟﺗﺛﺑﯾت اﻟﺑراﻣﺞ ﺿﺎرة ﻓﻘط ﻣن ﺧﻼل زﯾﺎرة‬
‫اﻟﺻﻔﺣﺔ ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت‪.‬‬
‫‪Virus Hoaxes and Fake Antiviruses‬‬

‫‪Virus Hoaxes‬‬
‫ﺗﻌﻧﻲ ﻛﻠﻣﺔ ‪ Hoax‬ﺑﺎﻟﻠﻐﺔ اﻹﻧﺟﻠﯾزﯾﺔ ﺧدﻋﺔ أو ﺣﯾﻠﺔ وﻛذﺑﺔ أو ﻣﻛﯾدة‪ ،‬إذا ‪ Virus hoax‬ﯾﻘﺻد ﺑﮫ أﻛﺎذﯾب اﻟﻔﯾروﺳﺎت‪ .‬اﻟﻔﯾروﺳﺎت‪ ،‬ﺑﺣﻛم‬
‫طﺑﯾﻌﺗﮭﺎ‪ ،‬ﻗد ﺧﻠﻘت اﻧطﺑﺎﻋﺎ ﺑﺎﻧﮭﺎ ﻣرﻋﺑﺔ‪ Hoaxes .‬ﻋﺎدة ﻋﺑﺎره ﻋن رﺳﺎﺋل ﺑرﯾدﯾﺔ اﻟﺗﻲ ﺗﺣﺗوي ﻋﻠﻰ ﺗﺣذﯾرات ﻋن ﻓﯾروس ﻣﺎ‪ ،‬ﺗرﺳل ﻣن ﻗﺑل‬
‫ﺷﺧص ﻣﺎ )أو أﻛﺛر( ﺑﮭدف إﺷﺎﻋﺔ ھذه اﻟﻛذﺑﺔ أو اﻟـ ‪ ،Hoax‬وﻣن ﺛم ﯾﺗﻧﺎﻗﻠﮭﺎ اﻵﺧرون ﺑﺣﺳن ﻧﯾﺔ ﻣﻌﺗﻘدﯾن أﻧﮭم ﯾﺧدﻣون أﺻدﻗﺎءھم ﺑﺈرﺳﺎل‬
‫ﻧﻔس اﻟﺗﺣذﯾر ﻟﮭم ﺑﻌﻣل ‪ forwarding‬ﻟﻠرﺳﺎﻟﺔ اﻷﺻﻠﯾﺔ‪ .‬ﻓﻲ وﻗت ﻗﺻﯾر ﺗﻧﺗﺷر ھذه اﻟرﺳﺎﻟﺔ ﻓﻲ أﻧﺣﺎء اﻟﻛرة اﻷرﺿﯾﺔ‪ ،‬وﻣﺎ ھﻲ ﻓﻲ واﻗﻊ‬
‫اﻷﻣر ﺳوى ﺣﯾﻠﺔ أو ﻛذﺑﺔ "ھوﻛس"‪ .‬إن ﻓﯾروس اﻟﻛﻣﺑﯾوﺗر ﻣﺎ ھو إﻻ ﺑرﻧﺎﻣﺞ ﺻﻣم ﻹدراج ﻧﻔﺳﮫ ﻓﻲ ﻣﻠف ﯾﺣﺗوي ﻋﻠﻰ ﺑرﻧﺎﻣﺞ آﺧر‪ .‬وﻋﻧدﻣﺎ‬
‫ﯾﺷﺗﻐل اﻟﺑرﻧﺎﻣﺞ اﻟﺛﺎﻧﻲ‪ ،‬ﯾﺻﺑﺢ اﻟﻔﯾروس ﻧﺷطﺎ‪ ،‬وﻋﻠﻰ اﻷرﺟﺢ ﻣﺳﺑﺑﺎ ﻣﺷﻛﻠﺔ‪ .‬ﻓﯾروس اﻟﻛﻣﺑﯾوﺗر‪ ،‬طﺑﻌﺎ ﻣﻣﻛن أن ﯾﻛون ﻣﺷﻛﻠﺔ‪ .‬وﻟﻛن‪ ،‬ھﻧﺎﻟك‬
‫ﻓﯾروﺳﺎت ﺣﻘﯾﻘﯾﺔ ﻗﻠﯾﻠﺔ ﻧﺳﺑﯾﺎ‪ ،‬وﻟﺳوء اﻟﺣظ‪ ،‬ھﻧﺎﻟك اﻟﻛﺛﯾر ﻣن اﻟﻧﺎس ﯾﻧﺷرون إﺷﺎﻋﺎت ﻟﯾس ﻟﮭﺎ أﺳﺎس ﻣن اﻟﺻﺣﺔ ﻋن اﻟﻔﯾروﺳﺎت‪ ،‬وﺧﺻوﺻﺎ‬
‫ﻣﺎ ﯾﺳﻣﻰ ﺑﻔﯾروﺳﺎت اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ‪ .‬ﻋﻠﯾك أﻻ ﺗﻧﺧدع‪ .‬ﻓﻲ اﻟﻣرة اﻟﺗﺎﻟﯾﺔ اﻟﺗﻲ ﺗﺣﺻل ﻋﻠﻰ أﺣد ﺗﺣذﯾرات اﻟﻔﯾروﺳﺎت ھذه‪ ،‬ﺗوﻗف ﻋن إرﺳﺎﻟﮫ‬
‫ﻷﺻدﻗﺎﺋك‪.‬‬
‫‪ Virus hoax‬ھﻲ إﻧذارات ﻛﺎذﺑﺔ ﺗزﻋم ﺗﻘﺎرﯾر ﺣول ﻓﯾروﺳﺎت ﻏﯾر ﻣوﺟودة‪.‬‬
‫‪ -‬رﺳﺎﺋل اﻟﺗﺣذﯾر ھذه‪ ،‬واﻟﺗﻲ ﯾﻣﻛن ﻧﺷرھﺎ ﺑﺳرﻋﺔ‪ ،‬واﻟﺗﻲ ﺗﺷﯾر إﻟﻰ ﻋدم ﻓﺗﺢ رﺳﺎﺋل ﺑرﯾد إﻟﻛﺗروﻧﻲ ﻣﻌﯾﻧﺔ‪ ،‬واﻟﺗﻲ ﻣن ﺷﺄﻧﮭﺎ أن ﺗﻠﺣﻖ‬
‫اﻟﺿرر ﺑذﻟك اﻟﻧظﺎم‪.‬‬
‫‪ -‬ﻓﻲ ﺑﻌض اﻟﺣﺎﻻت‪ ،‬رﺳﺎﺋل اﻟﺗﺣذﯾر ھذه أﻧﻔﺳﮭﺎ ﺗﺣﺗوي ﻋﻠﻰ ﻣرﻓﻘﺎت اﻟﻔﯾروس‪.‬‬
‫‪ -‬ﺗﻣﺗﻠك ھذه اﻟﻘدرة ﻋﻠﻰ ﺗدﻣﯾر واﺳﻌﺔ ﻋﻠﻰ اﻷﻧظﻣﺔ اﻟﮭدف‪.‬‬
‫‪569‬‬
‫اﻟﻌدﯾد ﻣن ‪ Hoaxes‬ﺗﺣﺎول "ﺑﯾﻊ" اﻷﺷﯾﺎء اﻟﺗﻲ ھﻲ ﻣن اﻟﻧﺎﺣﯾﺔ اﻟﻔﻧﯾﺔ ھراء‪ .‬وﻣﻊ ذﻟك‪ ،‬ﻓﺈن ‪) Hoaxer‬ﻣﻧﺷﺊ ‪ (Hoaxes‬ﯾﺟب أن ﯾﻛوﻧوا‬
‫ﻧوﻋﺎ ﻣﺎ ﺧﺑراء ﻟﻧﺷر ‪ Hoaxes‬ﺑطرﯾﻘﮫ ﺗﺟﻧﺑﮭﺎ ﻣن ﺗﺣدﯾدھﺎ واﻟﻘﺑض ﻋﻠﯾﮭﺎ‪.‬‬
‫وﺑﺎﻟﺗﺎﻟﻲ‪ ،‬ﻓﺈﻧﮫ ﻣن اﻟﺟﯾد اﻟﺑﺣث ﻋن اﻟﺗﻔﺎﺻﯾل اﻟﺗﻘﻧﯾﺔ ﺣول ﻛﯾﻔﯾﺔ أن ﺗﺻﺑﺢ ﻣﺻﺎﺑﺎ‪ .‬أﯾﺿﺎ اﻟﺑﺣث ﻋن اﻟﻣﻌﻠوﻣﺎت ﻓﻲ اﻟﺑرﯾﺔ ﻟﻣﻌرﻓﺔ اﻟﻣزﯾد ﻋن‬
‫‪ ،Hoaxes‬وﺧﺎﺻﺔ ﻋن طرﯾﻖ ﻓﺣص ﻟوﺣﺎت اﻹﻋﻼﻧﺎت ﺣﯾث ﯾﻘوم اﻟﻧﺎس ﺑﻣﻧﺎﻗﺷﺔ اﻷﺣداث اﻟﺟﺎرﯾﺔ ﻓﻲ اﻟﻣﺟﺗﻣﻊ‪.‬‬
‫ﺣﺎول ‪) crosscheck‬اﻟﻔﺣص( ﻟﻠﺗﻌرف ﻋﻠﻰ ھوﯾﺔ اﻟﺷﺧص اﻟذي ﯾﻘوم ﺑﻧﺷر اﻟﺗﺣذﯾر‪ .‬ﺗطﻠﻊ أﯾﺿﺎ ﻟﻣزﯾد ﻣن اﻟﻣﻌﻠوﻣﺎت ﺣول ‪/Hoax‬اﻟﺗﺣذﯾر‬
‫ﻣن اﻟﻣﺻﺎدر اﻟﺛﺎﻧوﯾﺔ‪ .‬ﻗﺑل اﻟﻘﻔز إﻟﻰ اﺳﺗﻧﺗﺎﺟﺎت ﻣن ﺧﻼل ﻗراءة ﺑﻌض اﻟوﺛﺎﺋﻖ ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت‪ ،‬ﻓﯾﺟب اﻟﺗﺣﻘﻖ ﻣﻣﺎ ﯾﻠﻲ‪:‬‬
‫‪ -‬ﻣﺎ إذا ﺗم ﻧﺷر ھذه اﻟوﺛﺎﺋﻖ ﻣن ﻗﺑل ﻣﺟﻣوﻋﺎت اﻷﺧﺑﺎر اﻟﻣﺷﺑوھﺔ‪ ،‬ﻓﻘم ﺑﻔﺣص )‪ (crosscheck‬اﻟﻣﻌﻠوﻣﺎت ﻣﻊ ﻣﺻدر آﺧر‪.‬‬
‫‪ -‬ﻣﺎ إذا ﻛﺎن اﻟﺷﺧص اﻟذي ﻧﺷر اﻟﺧﺑر ھو ﻟﯾس ﺷﺧص ﻣﻌروف ﻓﻲ اﻟﻣﺟﺗﻣﻊ أو ﺧﺑﯾر‪ ،‬ﻓﻘم ﺑﻔﺣص )‪ (crosscheck‬اﻟﻣﻌﻠوﻣﺎت ﻣﻊ‬
‫ﻣﺻدر آﺧر‪.‬‬
‫‪ -‬ﻣﺎ إذا ﻛﺎﻧت ﺟﮭﺔ ﺣﻛوﻣﯾﺔ ﻗﺎﻣت ﺑﻧﺷر ھذه اﻷﺧﺑﺎر‪ ،‬وﯾﻧﺑﻐﻲ أن ﯾﻣﻠك اﻟﻧﺷر أﯾﺿﺎ إﺷﺎرة إﻟﻰ ﺗﻧظﯾم ﻓﯾدراﻟﻲ ﻣﻘﺎﺑل ﻟﮫ‬
‫‪ -‬واﺣدة ﻣن اﻟﻔﺣوﺻﺎت اﻷﻛﺛر ﻓﻌﺎﻟﯾﺔ ھو اﻟﺑﺣث ﻋن ‪ hoax virus‬اﻟﻣﺷﺑوھﺔ ﻋن طرﯾﻖ اﻻﺳم اﻟﻣوﺟود ﻓﻲ ﻣواﻗﻊ ﺑراﻣﺞ اﻟﺣﻣﺎﯾﺔ ﻣن‬
‫اﻟﻔﯾروﺳﺎت‬
‫‪ -‬إذا ﻛﺎن اﻟﻧﺷر ھو ﺗﻘﻧﻲ‪ ،‬ﻓﺎﺑﺣث ﻋن اﻟﻣواﻗﻊ اﻟﺗﻲ ﻣن ﺷﺄﻧﮭﺎ أن ﺗﻠﺑﻲ اﻟﺟواﻧب اﻟﺗﻘﻧﯾﺔ‪ ،‬وﺣﺎول ﺗوﺛﯾﻖ ھذه اﻟﻣﻌﻠوﻣﺎت‪.‬‬
‫‪Fake Antiviruses‬‬
‫‪ Fake antivirus’s‬ھو وﺳﯾﻠﺔ ﺗؤﺛر ﻋﻠﻰ اﻟﻧظﺎم ﻣن ﻗﺑل اﻟﻘراﺻﻧﺔ واﻟﺗﻲ ﯾﻣﻛﻧﮭﺎ ان ﺗﺳﻣﯾم اﻟﻧظﺎم وﺗﻔﺷﻰ)‪ (outbreak‬ﻣﻠﻔﺎت ‪registry‬‬
‫واﻟﻧظﺎم ﻟﻠﺳﻣﺎح ﻟﻠﻣﮭﺎﺟم ﺑﺎﻟﺳﯾطرة اﻟﻛﺎﻣﻠﺔ واﻟوﺻول إﻟﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك‪ .‬ﯾﺑدو ﺣﯾث اﻧﮭﺎ ﺗﻌﻣل ﻋﻠﻰ ﻧﺣو ﻣﻣﺎﺛل ﻟﺑرﻧﺎﻣﺞ ﻣﻛﺎﻓﺣﺔ‬
‫اﻟﻔﯾروﺳﺎت اﻟﺣﻘﯾﻘﯾﺔ‪.‬‬
‫ﯾﺑدو أن ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت اﻟوھﻣﯾﺔ ﺗظﮭر أوﻻ ﻋﻠﻰ ﻣﺧﺗﻠف اﻟﻣﺗﺻﻔﺣﺎت وﯾﻘوم ﺑﺗﺣذﯾر اﻟﻣﺳﺗﺧدﻣﯾن ﺑﺄن ﻟدﯾﮭم ﺗﮭدﯾدات أﻣﻧﯾﺔ اﻟﻣﺧﺗﻠﻔﺔ‬
‫ﻋﻠﻰ اﻟﻧظﺎم اﻟﺧﺎص ﺑﮭم‪ ،‬وﺗدﻋوھم ﻣن ﻗﺑل ھذه اﻟرﺳﺎﻟﺔ اﻟﻣﺷﺑوھﺔ ﺑﺎﻟﻔﯾروﺳﺎت اﻟﺣﻘﯾﻘﯾﺔ‪ .‬ﻋﻧدﻣﺎ ﯾﺣﺎول اﻟﻣﺳﺗﺧدم إزاﻟﺔ اﻟﻔﯾروﺳﺎت‪ ،‬ﻓﺎﻧﮫ ﯾﺗم‬
‫ﻧﻘﻠﮫ إﻟﻰ ﺻﻔﺣﺔ أﺧرى ﺣﯾث ﯾﺣﺗﺎج إﻟﻰ ﺷراء أو اﻻﺷﺗراك ﻓﻲ ﻣﻛﺎﻓﺢ اﻟﻔﯾروس ذﻟك‪ ،‬واﻟﺷروع ﻓﻲ ﺗﻔﺎﺻﯾل اﻟدﻓﻊ‪ .‬ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت‬
‫اﻟوھﻣﯾﺔ ھذه ﺗﻛون ﻣﻠﻔﻘﮫ ﺑطرﯾﻘﮫ ﻣﺛل اﻟﺗﻲ ﺗﻠﻔت اﻧﺗﺑﺎه اﻟﻣﺳﺗﺧدم ﻟﯾطﻣﺋن ﻣن ﺗﺛﺑﯾت اﻟﺑرﻧﺎﻣﺞ‪.‬‬
‫ﺑﻌض ﻣن اﻷﺳﺎﻟﯾب اﻟﻣﺳﺗﺧدﻣﺔ ﻟﺗوﺳﯾﻊ اﺳﺗﺧدام وﺗرﻛﯾب ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت اﻟوھﻣﯾﺔ ﻛﻣﺎ ﯾﻠﻲ‪:‬‬
‫‪ :Email and messaging -‬اﻟﻣﮭﺎﺟﻣون ﯾﺳﺗﺧدﻣوا اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ واﻟﺑرﯾد اﻟﻣزﻋﺞ واﻟرﺳﺎﺋل واﻟﺷﺑﻛﺎت اﻻﺟﺗﻣﺎﻋﯾﺔ ﻟﻧﺷر ھذا‬
‫اﻟﻧوع ﻣن اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﻣﺻﺎﺑﺔ إﻟﻰ اﻟﻣﺳﺗﺧدﻣﯾن وﺗﺣﻔز اﻟﻣﺳﺗﺧدم ﻟﻔﺗﺢ اﻟﻣرﻓﻘﺎت ﻟﺗﺛﺑﯾت اﻟﺑراﻣﺞ‪.‬‬
‫‪ :Search engine optimization -‬اﻟﻣﮭﺎﺟﻣﯾن ﯾﻘوﻣوا ﺑﺈﻧﺷﺎء ﺻﻔﺣﺎت ﺗﺗﻌﻠﻖ ﺑﻣﺻطﻠﺣﺎت اﻟﺑﺣث اﻟﻌﺎﻣﺔ أو اﻟﺣﺎﻟﯾﺔ وزرﻋﮭﺎ ﻟﺗﺑدو‬
‫وﻛﺄﻧﮭﺎ ﻏﯾر ﻋﺎدﯾﺔ وآﺧر ﻓﻲ ﻧﺗﺎﺋﺞ ﻣﺣرك اﻟﺑﺣث‪ .‬ﺗظﮭر ﺻﻔﺣﺎت اﻟوﯾب ﺗﻧﺑﯾﮭﺎت ﺣول اﻹﺻﺎﺑﺔ اﻟﺗﻲ ﺗﺷﺟﻊ اﻟﻣﺳﺗﺧدم ﻟﺷراء ﺑراﻣﺞ‬
‫ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت اﻟوھﻣﯾﺔ‪.‬‬
‫‪ :Compromised websites -‬اﻟﻣﮭﺎﺟﻣﯾن ﯾﻘوﻣون ﺑﻛﺳر اﻟﻣواﻗﻊ ذات اﻟﺷﻌﺑﯾﺔ ﺳرا ﻟﺗﺛﺑﯾت ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت اﻟوھﻣﯾﺔ‪،‬‬
‫واﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﺟذب اﻟﻣﺳﺗﺧدﻣﯾن ﻟﺗﺣﻣﯾل ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت اﻟوھﻣﯾﺔ ﻣن ﺧﻼل اﻻﻋﺗﻣﺎد ﻋﻠﻰ ﺷﻌﺑﯾﺔ اﻟﻣوﻗﻊ‪.‬‬

‫‪570‬‬
‫‪Virus Analysis: DNSChanger‬‬

‫اﻟﻣﺻدر‪http://www.totaldefense.com :‬‬
‫)‪ DNSChanger (Alureon‬ھﻲ ﺑراﻣﺞ ﺿﺎرة ﺗﻧﺗﺷر ﻣن ﺧﻼل رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ‪ ،‬وﺣﯾل اﻟﮭﻧدﺳﯾﺔ اﻻﺟﺗﻣﺎﻋﯾﺔ‪ ،‬واﻟﺗﻧزﯾﻼت اﻟﻐﯾر‬
‫ﻣوﺛوق ﺑﮭﺎ ﻣن اﻹﻧﺗرﻧت‪ .‬اﻧﮭﺎ ﺑﻣﺛﺎﺑﺔ ‪ bot‬وﯾﻣﻛن ﺗﻧﺻﯾﻔﮭﺎ ﻋﻠﻰ اﻧﮭﺎ ‪ botnet‬واﻟﺗﺣﻛم ﻣن ﻣﻛﺎن ﺑﻌﯾد‪ .‬ھذه اﻟﺑراﻣﺞ اﻟﺿﺎرة ﺗﻘوم ﺑﺈﻋﺎدة ﺗوﺟﯾﮫ‬
‫‪DNS‬ﻋن طرﯾﻖ ﺗﻌدﯾل إﻋدادات ﻣﻔﺗﺎح ‪ registry‬ﺿد واﺟﮭﺔ اﻟﺟﮭﺎز ﻣﺛل ﺑطﺎﻗﺔ اﻟﺷﺑﻛﺔ‪.‬‬
‫ﺗﻠﻘت ‪ DNSChanger‬اھﺗﻣﺎﻣﺎ ﻛﺑﯾرا ﻧظرا ﻟوﺟود ﻋدد ﻛﺑﯾر ﻣن اﻷﻧظﻣﺔ اﻟﻣﺗﺄﺛرة ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻟﻌﺎﻟم‪ ،‬وﺣﻘﯾﻘﺔ أﻧﮭﺎ ﺟزءا ﻣن اﻟﺧدﻣﺔ‬
‫‪ ،botnet‬اﺗﺧذ ﻣﻛﺗب اﻟﺗﺣﻘﯾﻘﺎت اﻟﻔﯾدراﻟﻲ )‪(FBI‬اﻟﺗﺣﻘﻖ ﻣن ﺧوادم ‪ DNS‬اﻟﻣﺎرﻗﺔ‪/‬اﻟﺧﺑﯾﺛﺔ‪/‬اﻟﻣﺻﺎﺑﺔ ﻟﺿﻣﺎن ان اﻟﻣﺗﺿرر ﻣﻧﮭﺎ ﻟم ﯾﻔﻘد ﻋﻠﻰ‬
‫اﻟﻔور اﻟﻘدرة ﻋﻠﻰ ﺗرﺟﻣﺔ أﺳﻣﺎء ‪ .DNS‬ﺣﯾث ان ‪ DNSChanger‬ﺣﺗﻰ ﯾﻣﻛﻧﮫ ﺗﻌدﯾل إﻋدادات ‪ DNS‬ﻋﻠﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ ﻟﺗﺣوﯾل ﺣرﻛﺔ‬
‫اﻹﻧﺗرﻧت إﻟﻰ اﻟﻣواﻗﻊ اﻟﺧﺑﯾﺛﺔ ﻣن أﺟل ﺗوﻟﯾد اﻟﻌﺎﺋدات اﻹﻋﻼﻧﯾﺔ اﻻﺣﺗﯾﺎﻟﯾﺔ‪ ،‬وﺑﯾﻊ ﺧدﻣﺎت وھﻣﯾﺔ‪ ،‬أو ﺳرﻗﺔ اﻟﻣﻌﻠوﻣﺎت اﻟﻣﺎﻟﯾﺔ اﻟﺷﺧﺻﯾﺔ‪.‬‬
‫ﺧوادم ‪ DNS‬اﻟﻣﺎرﻗﺔ‪/‬اﻟﺧﺑﯾﺛﺔ‪/‬اﻟﻣﺻﺎﺑﺔ ﺗﻛون ﻣوﺟودة ﻓﻲ اﻟﻧطﺎﻗﺎت اﻟﺗﺎﻟﯾﺔ‪:‬‬
‫‪64.28.176.0 - 64.28.191.255, 67.210.0.0 - 67.210.15.255‬‬
‫‪77.67.83.0 - 77.67.83.255, 93.188.160.0 - 93.188.167.255‬‬
‫‪85.255.112.0 - 85.255.127.255, 213.109.64.0 - 213.109.79.255‬‬
‫ﻹﺻﺎﺑﺔ اﻟﻧظﺎم وﺳرﻗﺔ وﺛﺎﺋﻖ اﻟﺗﻔوﯾض‪ ،‬ﻓﺎن اﻟﻣﮭﺎﺟم ﯾﻘوم أوﻻ ﺑﺗﺷﻐﯾل ‪ .DNS server‬ﺣﯾث ﻓﻲ ھذا اﻟﻣﺛﺎل ﻧﺟد ان اﻟﻣﮭﺎﺟم ﯾدﯾر‬
‫‪ DNSserver‬اﻟﺧﺎص ﺑﮫ ﻣن روﺳﯾﺎ ﻣﻊ ‪ .64.28.176.2 ،IP‬ﺗﺎﻟﯾﺎ‪ ،‬ﯾﻘوم اﻟﻣﮭﺎﺟم ﺑﺈﺻﺎﺑﺔ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ ﻋن طرﯾﻖ ﺗﻐﯾﯾر ﻋﻧوان‬
‫‪ IP‬ﻠﻠ ‪ DNS‬ﻟﮫ إﻟﻰ‪ .64.28.176.2 :‬ﻋﻧد ﺗﻘوم اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ھذه ﺑﺈﺻﺎﺑﺔ اﻟﻧظﺎم‪ ،‬ﻓﺈﻧﮫ ﯾﻐﯾر ﺗﻣﺎﻣﺎ إﻋدادات ‪ DNS‬ﻟﻠﺟﮭﺎز اﻟﻣﺻﺎب‬
‫وﯾﺟﺑر ﺟﻣﯾﻊ طﻠﺑﺎت ‪ DNS‬ﺑﺎﻟذھﺎب إﻟﻰ ‪ DNSserver‬اﻟذي ﯾﻌﻣل ﺑواﺳطﺔ اﻟﻣﮭﺎﺟم‪ .‬ﺑﻌد ﺗﻐﯾﯾر إﻋداد ﻣن ‪ ،DNS‬ﻓﯾﺗم إرﺳﺎل أي طﻠب ﻣن‬
‫ﻗﺑل اﻟﻧظﺎم ﻟﺧﺎدم ‪ DNS‬اﻟﺧﺑﯾث‪ .‬ھﻧﺎ‪ ،‬أرﺳﻠت اﻟﺿﺣﯾﺔ طﻠب ‪ " DNS‬ﻣﺎ ھوا ﻋﻧوان ‪ IP‬ﻠ ‪ "www.xsecurity.com‬إﻟﻰ‬
‫‪571‬‬
‫)‪ .(64.28.176.2‬ﯾﻌطﻰ اﻟﻣﮭﺎﺟم اﺳﺗﺟﺎﺑﺔ ﻟﻠطﻠب ﺣﯾث ﯾﻘول ان ‪ ،www.xsecurity.com‬ﯾﻘﻊ ﻓﻲ اﻟﻌﻧوان ‪ .65.0.0.2‬ﻋﻧدﻣﺎ ﯾﺗﺻل‬
‫اﻟﻣﺗﺻﻔﺢ اﻟﺿﺣﯾﺔ ﺑﺎل ‪ ،65.0.0.2‬ﻓﺈﻧﮫ ﯾﺗم ﺗوﺟﯾﮭﮫ اﻟﻰ ﻣوﻗﻊ ﻋﻠﻰ ﺷﺑﻛﺔ اﻻﻧﺗرﻧت وھﻣﻲ ﺗم إﻧﺷﺎؤھﺎ ﻣن ﻗﺑل اﻟﻣﮭﺎﺟم ﻣﻊ ﻋﻧوان ‪IP‬‬
‫‪ DNSChanger .65.0.0.2‬ﯾﻘوم ﺑﺎﻟﺗﺟﺳس ﻋﻠﻰ وﺛﺎﺋﻖ اﻟﺗﻔوﯾض )اﺳم اﻟﻣﺳﺗﺧدم وﻛﻠﻣﺎت اﻟﺳر( وإﻋﺎدة ﺗوﺟﯾﮫ اﻟطﻠب إﻟﻰ اﻟﻣوﻗﻊ اﻟﺣﻘﯾﻘﻲ‬
‫)‪ (www.xsecurity.com‬ﻣﻊ ﻋﻧوان ‪.200.0.0.45 IP‬‬
‫‪ 7.2‬أﻧﻮاع اﻟﻔﯿﺮوﺳﺎت )‪(Type of Viruses‬‬
‫ﺣﺗﻰ اﻵن‪ ،‬ﻟﻘد ﻧﺎﻗﺷﻧﺎ ﻣﺧﺗﻠف اﻟﻣﻔﺎھﯾم ﻋن اﻟﻔﯾروﺳﺎت واﻟدﯾدان‪ .‬اﻵن ﺳوف ﻧﻧﺎﻗش اﻷﻧواع ﻣﺧﺗﻠﻔﺔ ﻣن اﻟﻔﯾروﺳﺎت‪.‬‬
‫ﯾﺑرز ھذا اﻟﻘﺳم اﻷﻧواع اﻟﻣﺧﺗﻠﻔﺔ ﻣن اﻟﻔﯾروﺳﺎت واﻟدﯾدان ﻣﺛل ﻓﯾروﺳﺎت ﻣﺗﻌددة اﻟﻣﻠﻔﺎت وﻓﯾروﺳﺎت اﻟﻣﺎﻛرو واﻟﻔﯾروﺳﺎت اﻟﻌﻧﻘودﯾﺔ وﻓﯾروﺳﺎت‬
‫اﻟﺷﺑﺢ‪/‬ﻧﻔﻖ‪ ،‬وﻓﯾروﺳﺎت اﻟﺗﺷﻔﯾر واﻟﻔﯾروﺳﺎت اﻟﻣﺗﺣوﻟﺔ‪ ،‬وﻓﯾروﺳﺎت اﻟﺷل‪ ،‬وھﻠم ﺟرا‪ .‬ﻓﯾروﺳﺎت اﻟﻛﻣﺑﯾوﺗر ھﻲ ﺑراﻣﺞ ﺧﺑﯾﺛﺔ ﻛﺗﺑﮭﺎ اﻟﻣﮭﺎﺟﻣﯾن‬
‫ﻟﻠدﺧول اﻟﻰ ﻧظﺎم اﺳﺗﮭدف ﻋﻣدا دون اﻟﺣﺻول ﻋﻠﻰ إذن اﻟﻣﺳﺗﺧدم‪ .‬وﻧﺗﯾﺟﺔ ﻟذﻟك‪ ،‬ﻓﺈﻧﮭﺎ ﺗؤﺛر ﻋﻠﻰ اﻟﺟﮭﺎز اﻷﻣﻧﻲ وأداء اﻟﺟﮭﺎز‪ .‬ﻧﻧﺎﻗش ھﻧﺎ‬
‫ﻋدد ﻗﻠﯾل ﻣن اﻷﻧواع اﻷﻛﺛر ﺷﯾوﻋﺎ ﻣن ﻓﯾروﺳﺎت اﻟﻛﻣﺑﯾوﺗر اﻟﺗﻲ ﺗؤﺛر ﺳﻠﺑﺎ ﻋﻠﻰ أﻧظﻣﺔ اﻷﻣن ﺑﺎﻟﺗﻔﺎﺻﯾل ﻋﻠﻰ اﻟﺷراﺋﺢ اﻟﺗﺎﻟﯾﺔ‪.‬‬
‫أﻧواع اﻟﻔﯾروﺳﺎت )‪(Type of Viruses‬‬

‫ﯾﺗم ﺗﺻﻧﯾف اﻟﻔﯾروﺳﺎت اﻋﺗﻣﺎدا ﻋﻠﻰ ﻓﺋﺗﯾن‪:‬‬
‫‪ -‬ﻣﺎ اﻟذي ﺗﻔﻌﻠﮫ ﻟﻛﻲ ﺗﺻﯾب )‪(What Do They Infect‬؟‬
‫‪ -‬ﻛﯾف ﺗﻔﻌﻠﮫ ﻟﻛﻲ ﺗﺻﯾب )‪(How Do They Infect‬؟‬
‫‪What Do They Infect‬؟‬

‫‪ -‬ﻓﯾروﺳﺎت ﻗطﺎع اﻟﺗﺷﻐﯾل )‪:(System/Boot Sector Virus‬‬
‫ﺗﻌﺗﺑر ﻣن أﻗدم اﻟﻔﯾروﺳﺎت اﻟﻣﻌروﻓﺔ ﻟدى اﻟﻣﺳﺗﺧدﻣﯾن ﺣﯾث ﺗﺳﺗطﯾﻊ ان ﺗﺻﯾب اﻟﻘرص اﻟﺻﻠب واﻷﻗراص اﻟﻠﯾﻧﺔ وﺗﻧﺗﺷر ﻋن طرﯾﻘﮭﺎ ﻣن‬
‫ﻣﺳﺗﺧدم اﻟﻰ اَﺧر وﺗﻛﻣن ﺧطورة ھذا اﻟﻧوع ﻣن اﻟﻔﯾروﺳﺎت ﻓﻲ ﻗدرﺗﮭﺎ ﻋﻠﻰ اﺻﺎﺑﺔ ﺟزء أﺳﺎﺳﻲ ﻣن أي ﻗرص ﺻﻠب أوﻟﯾن ﺣﯾث أن اﻷھداف‬
‫اﻷﻛﺛر ﺷﯾوﻋﺎ ﻟﻠﻔﯾروس ھﻲ ﻗطﺎﻋﺎت اﻟﻧظﺎم)‪ ، (system sector‬واﻟﺗﻲ ﻟﯾﺳت ﺳوى ﻗطﺎﻋﺎت )‪Master boot Record (MBR‬‬
‫وﻗطﺎﻋﺎت ‪ .DOS Boot Record System‬وھو اﻟﺟزء اﻟﻣﺧﺻص ﻟﺗوﺟﯾﮫ اﻟﺟﮭﺎز ﻓﻲ ﻛﯾﻔﯾﺔ ﺗﺣﻣﯾل ﺑرﻧﺎﻣﺞ ﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻘوم ھذا‬
‫اﻟﻔﯾروس ﺑﺗﺣﻣﯾل ﻧﻔﺳﮫ ﻟﻠذاﻛرة ﻓﻲ ﻛل ﻣرة ﯾﺗم ﻓﯾﮭﺎ ﺗﺷﻐﯾل اﻟﺟﮭﺎز‪ .‬وھو ﻣن أﺧطر أﻧواع اﻟﻔﯾروﺳﺎت ﺣﯾث اﻧﮫ ﯾﻣﻧﻌك ﻣن ﺗﺷﻐﯾل اﻟﺟﮭﺎز‪ .‬ﻋﻠﻰ‬
‫ﺳﺑﯾل اﻟﻣﺛﺎل‪ Disk Killer :‬و‪.Stone virus‬‬

‫‪572‬‬
‫‪ -‬ﻓﯾروﺳﺎت اﻟﻣﻠﻔﺎت )‪:(File Virus‬‬

‫ھذا اﻟﻧوع ﻣن اﻟﻔﯾروﺳﺎت ﯾﻠﺣﻖ ﻧﻔﺳﮫ ﻛﻣﻠف ﻓﻲ أي ﺑرﻧﺎﻣﺞ ﺗﻧﻔﯾذي وﯾﺗﻣﯾز ھذا اﻟﻧوع ﻣن اﻟﻔﯾروﺳﺎت ﺑﻘدرﺗﮫ ﻋﻠﻰ اﻻﻧﺗﺷﺎر ﺑﻌدة طرق وﺑﺳرﻋﺔ‬
‫ﻣﮭوﻟﺔ ﻣﻧﮭﺎ اﻷﻗراص اﻟﻠﯾﻧﺔ واﻷﻗراص اﻟﻣدﻣﺟﺔ ورﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻛﻣﻠف ﻣﻠﺣﻖ ﻛﻣﺎ ﯾﻣﻛﻧﮫ اﻻﻧﺗﻘﺎل ﻣن اﻟﺑراﻣﺞ اﻟﻣﺟﺎﻧﯾﺔ واﻟﻣﺗوﻓرة ﻓﻲ‬
‫اﻹﻧﺗرﻧت وﺗﻛﻣن ﺧطورﺗﮫ ﻓﻲ ﻗدرﺗﮫ ﻋﻠﻰ اﻻﻧﺗﺷﺎر اﻟﺳرﯾﻊ واﺻﺎﺑﺔ ﺑﻘﯾﺔ اﻟﻣﻠﻔﺎت اﻟﻣوﺟودة ﻓﻲ اﻟﺑراﻣﺞ اﻟﺗﻧﻔﯾذﯾﺔ اﻷﺧرى‪ .‬ﻓﯾروﺳﺎت اﻟﻣﻠف أﻛﺑر‬
‫ﻣن ﺣﯾث اﻟﻌدد‪ ،‬وﻟﻛﻧﮭﺎ ﻟﯾﺳت ھﻲ اﻷﻛﺛر ﺷﯾوﻋﺎ‪ .‬أﻧﮭﺎ ﺗﺻﯾب ﻋن طرﯾﻖ ﻣﺟﻣوﻋﺔ ﻣﺗﻧوﻋﺔ ﻣن اﻟطرق‪ ،‬وﯾﻣﻛن اﻟﻌﺛور ﻋﻠﯾﮭﺎ ﻓﻲ ﻋدد ﻛﺑﯾر ﻣن‬
‫أﻧواع اﻟﻣﻠﻔﺎت‪.‬‬
‫‪ -‬ﻓﯾروﺳﺎت ﻣﺗﻌددة اﻟﻣﻠﻔﺎت )‪:(Multipartite Virus‬‬
‫ﻓﯾروس ﯾﻘوم ﻋﻠﻰ دﻣﺞ ﻗدرات ﻧوﻋﯾن ﻣﺧﺗﻠﻔﯾن ﻣن اﻟﻔﯾروﺳﺎت ﻓﯾروﺳﺎت اﻟـ ‪ boot sector‬وﻓﯾروﺳﺎت اﻟﻣﻠﻔﺎت ﻓﺗﻘوم ھذه اﻟﻔﯾروﺳﺎت ﺑﺈﺻﺎﺑﺔ‬
‫ﺟزء ﻣن ﻣﻠﻔﺎت اﻟﻧظﺎم )ﻣﺛل ‪ ،(programs file‬وھذا اﻟﻣﻠﻔﺎت ﺑدورھﺎ ﺗؤﺛر ﻋﻠﻰ ﻗطﺎﻋﺎت اﻟﺗﻣﮭﯾد ﺛم ﺗﺗوزع ﻟﺗﻧﺗﺷر ﻋﻠﻰ ﻛﺎﻓﺔ أرﺟﺎء اﻟﻧظﺎم‪.‬‬
‫وﻛﻧﺗﯾﺟﺔ ﻟﻘدرات ھذا اﻟﻔﯾروس ﻓﺈﻧﮫ ﻣن اﻟﺻﻌب ﺟداً اﻟﺗﺧﻠص ﻣﻧﮫ‪ .‬ﻣﺛل ‪ ،Flip ،Invader‬و‪.Tequila‬‬
‫‪ -‬اﻟﻔﯾروﺳﺎت اﻟﻌﻧﻘودﯾﺔ )‪:(Cluster Virus‬‬
‫‪ Cluster virus’s‬ﺗﺻﯾب اﻟﻣﻠﻔﺎت دون ﺗﻐﯾﯾر اﻟﻣﻠف أو زرع ﻣﻠﻔﺎت إﺿﺎﻓﯾﺔ؛ ﺣﯾث ﯾﻘوم ﺑﺗﻌدﯾل ﻣﻌﻠوﻣﺎت ‪ directory table‬ﺑﺣﯾث ﻋﻧد‬
‫ﺗﺷﻐﯾل ﺗطﺑﯾﻖ ﻣﺎ ﻓﺎﻧﮫ ﯾﺟﻌل ﻧﻘطﺔ اﻹدﺧﺎﻻت ﺗﺷﯾر إﻟﻰ رﻣز اﻟﻔﯾروس ﺑدﻻ ﻣن اﻟﺑرﻧﺎﻣﺞ اﻟﻔﻌﻠﻲ ﻓﯾﺗم ﺗﺣﻣﯾل اﻟﻔﯾروس ﺑدﻻ ﻣن اﻟﺑرﻧﺎﻣﺞ وﺑﺎﻟﺗﺎﻟﻲ‬
‫ﯾظﮭر ﻟﻠﻣﺳﺗﺧدم ﺑﺄن اﻟﻔﯾروس ﻗد أﺻﺎب ﻛل اﻟﻣﻠﻔﺎت‪ .‬ھذا اﻟﻔﯾروس ﯾﺻﯾب ﺑرﻧﺎﻣﺟﺎ ً واﺣدا ً ﻓﻘط ﻓﻲ اﻟﻧظﺎم وﻟﻛن ﻣﺎ ﯾظﮭر ﻟﻠﻣﺳﺗﺧدم ھو أن‬
‫ﺟﻣﯾﻊ اﻟﺑراﻣﺞ ﻗد ﺗﻣت إﺻﺎﺑﺗﮭﺎ ﺑﺎﻟﻔﯾروس‪.‬‬
‫ﻣﻠﺣوظﮫ‪ Directory table :‬ھو ﺟدول ﻣوﺟود ﻓﻲ ‪ MBR‬ﺣﯾث ﯾﺳﺟل ﻓﯾﮫ اﻟﻣﻠﻔﺎت واﻟﻣﺟﻠدات اﻟﻣوﺟودة ﻋﻠﻰ اﻟﻧظﺎم وﻣوﻗﻌﮫ ﻋﻠﻰ‬
‫اﻟﻘرص اﻟﺻﻠب‪.‬‬
‫‪ -‬ﻓﯾروﺳﺎت اﻟﻣﺎﻛرو )‪:(Macro Virus‬‬
‫ﻣﻠﻔﺎت ورد )‪ (windows word‬او اﻟﺗطﺑﯾﻘﺎت اﻟﻣﺷﺎﺑﮫ ﯾﻣﻛﻧﮭﺎ أن ﺗﺻﺎب ﻣن ﺧﻼل ﻓﯾروﺳﺎت اﻟﻛﻣﺑﯾوﺗر واﻟﺗﻲ ﺗﺳﻣﻰ ﻓﯾروس ﻣﺎﻛرو‪ ،‬اﻟذي‬
‫ﯾؤدي ﺗﻠﻘﺎﺋﯾﺎ ﺳﻠﺳﻠﺔ ﻣن اﻹﺟراءات ﻋﻧدﻣﺎ ﯾﺗم ﺗﺷﻐﯾل اﻟﺗطﺑﯾﻖ أو أي ﺷﻲء آﺧر‪ .‬ﻓﯾروﺳﺎت اﻟﻣﺎﻛرو ھﻲ إﻟﻰ ﺣد ﻣﺎ أﻗل ﺿررا ﻣن اﻷﻧواع‬
‫اﻷﺧرى‪ .‬ﻋﺎدة ﻣﺎ ﯾﻧﺗﺷرون ﻋﺑر اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ‪ .‬وھﻲ ﻣن أﻛﺛر اﻟﻔﯾروﺳﺎت اﻧﺗﺷﺎرا وﻛﻣﺎ أﻧﮭﺎ ﺗﻛﺗب ﺑﺎﻟورد او ‪.Notepad‬‬
‫ﻣﺛﺎل‪ :Melissa :‬ﻓﯾروس ﻣﺎﻛرو ﺷﮭﯾر ﯾﺻﯾب ﻣﻠﻔﺎت اﻟـ ‪ Word‬ﻓﻲ ‪ Microsoft Office 97‬و ‪ 2000‬ظﮭر أول ﻣرة ﻓﻲ رﺑﯾﻊ ﻋﺎم‬
‫‪ .1999‬ﯾﺻل إﻟﻰ اﻟﻣﺳﺗﺧدم ﻛرﺳﺎﻟﺔ ﺑرﯾد إﻟﻛﺗروﻧﻲ ﻣﻊ ﻣﻠف ﻣرﻓﻖ ﯾﻛون ﻋﻧوان اﻟرﺳﺎﻟﺔ >‪An Important Message From <user‬‬
‫ﺣﯾث ﯾﻛون ‪ user‬ھو أﺣد اﻷﺷﺧﺎص ﻣن دﻓﺗر اﻟﻌﻧﺎوﯾن ﻟدﯾك‪ .‬ﻋﻧد ﻓﺗﺢ اﻟﻣﻠف اﻟﻣرﻓﻖ ﯾﻘوم اﻟﻔﯾروس ﻣﺑﺎﺷرة إذا ﻛﺎن ‪Microsoft Outlook‬‬
‫ﻣﻧﺻﺑﺎ ً ﺑﺈرﺳﺎل ﻧﻔﺳﮫ إﻟﻰ أول ‪ 50‬ﻋﻧوان ﻣن دﻓﺗر اﻟﻌﻧﺎوﯾن ﻟدﯾك؛ وﯾﻘوم اﻟﻔﯾروس ﺑﺎﻟﺗﻼﻋب ﺑﺳﺟﻼت اﻟﻧظﺎم ‪ ،System Registry‬ﯾﺻﯾب‬
‫اﻟﻣﻠف ‪ Normal.dot‬وھو ﻗﺎﻟب ﻣﻠف اﻟـ ‪ Word‬ﻷي ﻣﻠف ﺟدﯾد‪ ،‬وﺑﺎﻟﺗﺎﻟﻲ ﯾﺿﻣن اﻟﻔﯾروس إﺻﺎﺑﺔ أي ﻣﻠف ‪ Word‬ﺟدﯾد ﺑﮫ‪ .‬رﺑﻣﺎ ﻻ‬
‫ﯾﻣﺗﻠك ‪ Melissa‬آﺛﺎرا ً ﺗدﻣﯾرﯾﺔ ﻛﺑﯾرة ﻋﻠﻰ اﻟﺟﮭﺎز اﻟﻣﺻﺎب وﻟﻛﻧﮫ ﯾرھﻖ ﺣﺳﺎب اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﺧﺎص ﺑك ﻋﺑر زﯾﺎدة ﻋدد اﻟرﺳﺎﺋل‬
‫اﻟﻣرﺳﻠﺔ إﻟﯾك ﻣﺛﻼً‪ .‬ﺗم ﺗﺳﻣﯾﺔ ھذا اﻟﻔﯾروس ﺑﮭذا اﻻﺳم ﺑﻌد ﻣﻌرﻓﺔ اﻟﺷﺧص اﻟذي ﺻﻣﻣﮫ‪.‬‬
‫‪How Do They Infect‬‬
‫‪ -‬اﻟﻔﯾروﺳﺎت اﻟﻣﺧﻔﯾﺔ )‪:(Stealth Virus‬‬
‫ھذه اﻟﻔﯾروﺳﺎت ﺗﺣﺎول إﺧﻔﺎء ﻧﻔﺳﮭﺎ ﻋن ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت‪ .‬ﺑﻣﺟرد إﺧﻔﺎﺋﮭﺎ‪ ،‬ﻓﺈﻧﮭﺎ ﺗﻘوم ﺑﻧﺳﺦ اﻟﻣﻌﻠوﻣﺎت ﻣن اﻟﺑﯾﺎﻧﺎت اﻟﻐﯾر ﻣﺻﺎﺑﮫ ﻋﻠﻰ‬
‫ﻧﻔﺳﮭﺎ ﺛم ﺗﻘوم ﺑﺗﺻدﯾر ھذه اﻟﺑﯾﺎﻧﺎت إﻟﻰ ﺑرﻧﺎﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت أﺛﻧﺎء اﻟﻔﺣص‪ .‬وھذا ﯾﺟﻌل ﻣن اﻟﺻﻌب اﻟﻛﺷف او ﺣذف ھذا اﻟﻧوع ﻣن‬
‫اﻟﻔﯾروﺳﺎت‪ .‬ﯾﻣﻛﻧﮫ أن ﯾﺻﯾب ﻧظﺎم اﻟﻛﻣﺑﯾوﺗر ﺑﻌدد ﻣن اﻟطرق‪ :‬ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل‪ ،‬ﻋﻧدﻣﺎ ﯾﻘوم اﻟﻣﺳﺗﺧدم ﺑﺗﺣﻣﯾل ﻣرﻓﻖ اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ‬
‫اﻟﺧﺑﯾﺛﺔ؛ ﺗﺛﺑﯾت اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ اﻟﻣﺗﻧﻛرة ﻓﻲ اﻟﺑراﻣﺞ اﻟﺣﻘﯾﻘﯾﺔ ﻣن اﻟﻣواﻗﻊ؛ أو اﺳﺗﺧدام ﺑراﻣﺞ ﻟم ﯾﺗم اﻟﺗﺣﻘﻖ ﻣﻧﮭﺎ‪ .‬ﻣﺛل اﻟﻔﯾروﺳﺎت اﻷﺧرى‪،‬‬
‫ﺣﯾث ﯾﻣﻛﻧﮭﺎ أن ﯾﺳﺗﺧدم طﺎﺋﻔﺔ واﺳﻌﺔ ﻣن ﻣﮭﺎم اﻟﻧظﺎم واﻟﺗﻲ ﯾﻣﻛن أن ﺗؤﺛر ﻋﻠﻰ أداء اﻟﻛﻣﺑﯾوﺗر‪ .‬ﻋﻧد ﺗﻧﻔﯾذ ﻣﺛل ھذه اﻟﻣﮭﺎم‪ ،‬ﻓﺎن ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ‬
‫اﻟﻔﯾروﺳﺎت ﺗﻛﺗﺷف اﻟﺑراﻣﺞ اﻟﺿﺎرة ھذه‪ ،‬وﻟﻛن ﺗم ﺗﺻﻣﯾم ھذا اﻟﻔﯾروس ﻟﻛﻲ ﯾﺟﻌل ﻧﺷﺎطﮫ ﻣﺧﻔﻲ ﻋن ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت‪ .‬ﻓﺈﻧﮫ ﯾﺣﻘﻖ‬
‫ھذا ﻋن طرﯾﻖ ﺗﺣرﯾك ﻧﻔﺳﮭﺎ ﻣؤﻗﺗﺎ ﺑﻌﯾدا ﻋن اﻟﻣﻠف اﻟﻣﺻﺎب وﻧﺳﺦ ﻧﻔﺳﮭﺎ إﻟﻰ ﻣﺣرك أﻗراص آﺧر واﺳﺗﺑدال ﻧﻔﺳﮭﺎ ﻣﻊ ﻣﻠف ﻧظﯾﻔﺔ‪ .‬ﯾﻣﻛن‬
‫ﻟﻠﻔﯾروس اﻟﺷﺑﺢ أﯾﺿﺎ ﺗﺟﻧب اﻟﻛﺷف ﻋن طرﯾﻖ إﺧﻔﺎء ﺣﺟم اﻟﻣﻠف اﻟذي أﺻﯾب‪.‬‬
‫ﯾﻣﻛﻧك اﻟﻛﺷف ﻋن اﻟﻔﯾروس ﻗﺑل ﺑدء ﺗﺷﻐﯾل اﻟﻧظﺎم ﻋﺑر ﻗرص ﺗﻣﮭﯾد ‪-‬ﻟﺗﺟﻧب اﻟﺗﺣﻛم ﻓﻲ اﻟﻧظﺎم ﻣن ﻗﺑل اﻟﻔﯾروس ‪-‬وﻣن ﺛم ﺗﺑدأ ﻓﻲ ﻓﺣص‬
‫اﻟﻔﯾروﺳﺎت‪ .‬وﻣﻊ ذﻟك‪ ،‬ﺣﺗﻰ ﻟو ﻛﺎن اﻟﻛﺷف ﻋن ھﻧﺎ‪ ،‬ﻓﮭﻧﺎك ﻓرﺻﺔ أن اﻟﻔﯾروس ﻗد ﯾﻧﺳﺦ ﻧﻔﺳﮫ إﻟﻰ ﻣﻠف آﺧر ﻋﻠﻰ اﻟﻧظﺎم‪ ،‬ﻟذﻟك ﻻ ﯾزال ھذا‬
‫اﻟﻔﯾروس ﺗﺣدﯾﺎ ﻟﻠﻘﺿﺎء ﻋﻠﯾﮫ ﺑﺷﻛل ﻛﺎﻣل‪.‬‬
‫‪ -‬ﻓﯾروﺳﺎت اﻟﻧﻔﻖ )‪:(Tunneling Viruses‬‬
‫‪ Tunneling virus‬ھو اﻟﻔﯾروس اﻟذي ﯾﺣﺎول اﻟﺗﺻدي ﻟﻠﺑرﻣﺟﯾﺎت اﻟﻣﻛﺎﻓﺣﺔ ﺿد اﻟﻔﯾروﺳﺎت ﻗﺑل أن ﺗﺗﻣﻛن ﻣن اﻟﻛﺷف ﻋن اﻷﻛواد اﻟﺧﺑﯾﺛﺔ‪.‬‬
‫ھذا اﻟﻧوع ﻣن اﻟﻔﯾروﺳﺎت ﺗﻘوم ﺑﺗﺷﻐﯾل ﻧﻔﺳﮭﺎ ﻓﻲ ﻣﺳﺗوى أدﻧﻲ ﻣن إطﺎر ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت‪ .‬ﺣﯾث ﺛم ﺗﻌﻣل ﻣن ﺧﻼل اﻟذھﺎب اﻟﻰ‬

‫‪573‬‬
‫‪ interruption handlers‬ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل وإﯾﻘﺎﻓﮭﺎ‪ ،‬وﺑﺎﻟﺗﺎﻟﻲ ﺗﺗﺟﻧب اﻟﻛﺷف‪ .‬ﺑراﻣﺞ اﻋﺗراض‪ ،‬اﻟﺗﻲ ﻻ ﺗزال ﺗﻌﻣل ﻓﻲ ﺧﻠﻔﯾﺔ ﻧظﺎم‬
‫اﻟﺗﺷﻐﯾل أﺻﺑﺣت ﺧﺎﻣﻠﮫ أﺛﻧﺎء ﻋﻣل ‪ .Tunneling virus‬ﺑﻌض ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻻ ﺗﺟد اﻷﻛواد اﻟﺧﺑﯾﺛﺔ اﻟﻣرﻓﻘﺔ ﻟﻔﯾروﺳﺎت اﻟﻧﻔﻖ‪.‬‬
‫ﻟﻣﻛﺎﻓﺣﺔ ھذه‪ ،‬ﻓﺎن ﺑﻌض ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﺗﺳﺗﺧدم أﺳﺎﻟﯾﺑﮭم اﻟﺧﺎﺻﺔ ‪ ،tunneling‬واﻟﺗﻲ ﺗﻛﺷف ﻋن اﻟﻔﯾروﺳﺎت اﻟﺧﻔﯾﺔ اﻟﺗﻲ ﺗﻘﻊ‬
‫داﺧل ذﻛرﯾﺎت اﻟﻛﻣﺑﯾوﺗر‪.‬‬
‫‪ Tunneling virus‬ﺗﺣﺎول ﺗﺟﺎوز ﻣراﻗﺑﺔ اﻟﻧﺷﺎط ﻣن ﻗﺑل ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﺑﺎﺗﺑﺎع ﺳﻠﺳﻠﺔ اﻟﻣﻘﺎطﻌﺔ وذﻟك ﺑﺎﻟرﺟوع إﻟﻰ‬
‫‪ DOS or BIOS interrupt handler’s‬ﺛم ﺗﺛﺑﯾت ﻧﻔﺳﮭﺎ‪.‬‬
‫‪ -‬ﻓﯾروﺳﺎت اﻟﺗﺷﻔﯾر )‪:(Encryption Viruses‬‬
‫ھذا اﻟﻧوع ﻣن اﻟﻔﯾروس ﯾﺗﻛون ﻣن ﻧﺳﺧﺔ ﻣﺷﻔرة ﻣن اﻟﻔﯾروس ووﺣدة ﻓك اﻟﺗﺷﻔﯾر‪ .‬ﻻ ﺗزال وﺣدة ﻓك اﻟﺗﺷﻔﯾر ﺛﺎﺑﺗﺔ‪ ،‬ﻓﻲ ﺣﯾن ﯾﺗم اﺳﺗﺧدام ﻣﻔﺎﺗﯾﺢ‬
‫ﻣﺧﺗﻠﻔﺔ ﻟﻠﺗﺷﻔﯾر‪.‬‬
‫‪ -‬ﻓﯾروﺳﺎت ﻣﺗﻌددة اﻻﺷﻛﺎل )‪:(Polymorphic Viruses‬‬
‫ﻟﻘد ﺗم ﺗطوﯾر ھذه اﻟﻔﯾروﺳﺎت ﻟﻠﺗﺷوﯾش ﻋﻠﻰ ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت اﻟﺗﻲ ﺗﻔﺣص ﺑﺣﺛﺎ ﻋن اﻟﻔﯾروﺳﺎت ﻓﻲ اﻟﻧظﺎم‪ .‬ﻓﻣن اﻟﺻﻌب ﺗﺗﺑﻌﮭم‪،‬‬
‫ﻧظرا ﻷﻧﮭم ﯾﻐﯾرون ﺧﺻﺎﺋﺻﮭﺎ ﻓﻲ ﻛل ﻣرة ﯾﺻﯾﺑون اﻟﻧظﺎم‪ ،‬ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل‪ ،‬ﻛل ﻧﺳﺧﺔ ﻣن ھذا اﻟﻔﯾروس ﺗﺧﺗﻠف ﻋن اﻟﺳﺎﺑﻘﺔ‪ .‬وﻣطوري‬
‫اﻟﻔﯾروﺳﺎت ﻗﺎﻣوا ﺑﺈﻧﺷﺎء اﻟﻣﺣرﻛﺎت اﻟﻣﺗﺣوﻟﺔ واﻟﻣﺳﺗﻠزﻣﺎت ﻟﻛﺗﺎﺑﺔ اﻟﻔﯾروﺳﺎت )‪ (virus writing tool kits‬واﻟﺗﻲ ﺗﺟﻌل اﻛواد ھذا اﻟﻔﯾروس‬
‫اﻟﺣﺎﻟﯾﺔ ﺗﺑدو ﻣﺧﺗﻠﻔﺔ ﻋن اﻵﺧرﯾن ﻣن ﻧوﻋﮭﺎ‪.‬‬
‫‪ -‬اﻟﻔﯾروﺳﺎت اﻟﻣﺗﺣوﻟﺔ )‪:(Metamorphic Viruses‬‬
‫اﻷﻛواد اﻟﺗﻲ ﯾﻣﻛن إﻋﺎدة ﺑرﻣﺟﺔ ﻧﻔﺳﮭﺎ ﯾطﻠﻖ ﻋﻠﯾﮭﺎ ‪ .metamorphic code‬ﺣﯾث ﯾﺗرﺟم ھذا اﻟﻛود إﻟﻰ ﻛود ﻣؤﻗت‪ ،‬وﻣن ﺛم ﺗﺣوﯾﻠﮭﺎ إﻟﻰ‬
‫اﻟﻛود اﻟﻌﺎدي‪ .‬ھذه اﻟﺗﻘﻧﯾﺔ‪ ،‬اﻟﺗﻲ ﻻ ﺗزال ﻓﯾﮭﺎ اﻟﺧوارزﻣﯾﺔ اﻷﺻﻠﯾﺔ ﺳﻠﯾﻣﺔ‪ ،‬وﯾﺳﺗﺧدم ﻟﺗﺟﻧب اﻟﺗﻌرف ﻋﻠﻰ ﻧﻣطﮭﺎ ﻣن ﻗﺑل ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ‬
‫اﻟﻔﯾروﺳﺎت‪ .‬ھذه اﻟﻔﯾروﺳﺎت أﻛﺛر ﻓﻌﺎﻟﯾﺔ ﺑﺎﻟﻣﻘﺎرﻧﺔ ﻣﻊ ‪ .polymorphic code‬ھذا اﻟﻧوع ﻣن اﻟﻔﯾروﺳﺎت ﺗﺗﻛون ﻣن اﻛواد ﻣﻌﻘدة‪.‬‬
‫‪ -‬ﻓﯾروس اﻟﺗﺟوﯾف )‪:(Overwriting File or Cavity Viruses‬‬
‫ﺑﻌض ﻣﻠﻔﺎت اﻟﺑراﻣﺞ ﻟدﯾﮭﺎ ﻣﻧﺎطﻖ ﻣن اﻟﻣﺳﺎﺣﺎت اﻟﻔﺎرﻏﺔ‪ .‬ھذا اﻟﻔﺿﺎء اﻟﻔﺎرغ ھو اﻟﮭدف اﻟرﺋﯾﺳﻲ ﻟﮭذه اﻟﻔﯾروﺳﺎت‪ .‬ﻓﯾروس اﻟﺗﺟوﯾف‪،‬‬
‫واﻟﻣﻌروف أﯾﺿﺎ ﺑﺎﺳم ‪ ،Space Filler Virus‬ﯾﺧزن اﻷﻛواد اﻟﺧﺎﺻﺔ ﺑﮫ ﻓﻲ ھذا اﻟﻔﺿﺎء اﻟﻔﺎرغ‪ .‬اﻟﻔﯾروس ﯾﻘوم ﺑﺗﺛﺑﯾت ﻧﻔﺳﮫ ﻓﻲ ھذا‬
‫اﻟﻔﺿﺎء اﻟﻐﯾر ﻣﺄھول دون أي ﺗدﻣﯾر ﻟﻠﻛود اﻷﺻﻠﻲ ﻟﻠﺑرﻧﺎﻣﺞ‪ .‬ﻷﻧﮫ ﯾﺛﺑت ﻧﻔﺳﮫ ﻓﻲ ﻣﻠف ﯾﺣﺎول ان ﯾﺻﯾﺑﮫ‪.‬‬
‫‪:Sparse Infector Viruses -‬‬
‫ً‬
‫‪ Sparse infector virus‬ھو ﻧوع ﻣن اﻟﻔﯾروﺳﺎت ﻻ ﯾﻌﻣل إﻻ ﻋﻧد ﺷرط ﻣﻌﯾن وﯾﺑﻘﻰ اﻟـ ‪ sparse infector‬ﻣﺧﻔﯾﺎ داﺧل اﻟﻧظﺎم وﻻ‬
‫ﯾﺷﻌر ﺑﮫ اﻟﻣﺳﺗﺧدم إﻻ ﻋﻧد ﺷرط ﻣﺣدد ﺑﺷﻛل رﻗﻣﻲ ﻛﺗﺎرﯾﺦ ﻣﻌﯾن أو ﻛﺗﺷﻐﯾل ﺑرﻧﺎﻣﺞ ﻣﺎ ﻋد ٍد ﻣن اﻟﻣرات‪.‬‬
‫‪ -‬اﻟﻔﯾروس اﻟﻣراﻓﻖ )‪:(Companion Viruses‬‬
‫‪ Companion virus‬ھو ﻓﯾروس ﻛﻣﺑﯾوﺗر ﻣﻌﻘد‪ ،‬وھو ﻋﻠﻰ ﻋﻛس اﻟﻔﯾروﺳﺎت اﻟﺗﻘﻠﯾدﯾﺔ‪ ،‬ﻻ ﺗﻘوم ﺑﺎﻟﺗﻌدﯾل ﻋﻠﻰ أي ﻣن اﻟﻣﻠﻔﺎت‪ .‬ﺑدﻻ ﻣن‬
‫ذﻟك‪ ،‬ﺗﻘوم إﻧﺷﺎء ﻧﺳﺧﺔ ﻣن اﻟﻣﻠف وﺗﺿﻊ ﻣﻠﺣﻖ آﺧر ﻋﻠﻰ ذﻟك‪ ،‬ﻋﺎدة )‪ )(.com‬ﻣﺛﻼ ‪ file.exe‬اﻟﻰ ‪ (file.com‬وﺑﻣﺟرد ﺗﻧﻔﯾذ ھذا اﻟﻣﻠف‪ ،‬ﻓﺎن‬
‫اﻟﻔﯾروس ﯾﺻﯾب ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر‪ .‬ھذه اﻟﻧوﻋﯾﺔ ﻓرﯾد ﺑﺣﯾث ﯾﺟﻌل اﻟﻔﯾروس رﻓﯾﻖ ﯾﺻﻌب اﻛﺗﺷﺎﻓﮫ‪ ،‬ﻛﻣﺎ ﯾﻣﯾل اﻟﺑرﻣﺟﯾﺎت اﻟﻣﺿﺎدة ﻟﻠﻔﯾروﺳﺎت‬
‫ﻻﺳﺗﺧدام اﻟﺗﻐﯾﯾرات ﻓﻲ اﻟﻣﻠﻔﺎت ﻛدﻟﯾل ﻋﻠﻰ وﺟود اﻟﻔﯾروس‪ .‬ھذه اﻟﻔﯾروﺳﺎت ﻣن اﻟﻧوع اﻟﻘدﯾم ﻣن اﻟﻔﯾروس اﻟذي ﻛﺎن أﻛﺛر وﺿوﺣﺎ ﻓﻲ ﻋﮭد‬
‫‪ .MS-DOS‬ﯾﺗم ﻧﺷر ذﻟك ﻓﻲ اﻟﻐﺎﻟب ﻣن ﺧﻼل اﻟﺗدﺧل اﻟﺑﺷري‪.‬‬
‫‪ -‬ﻓﯾروﺳﺎت اﻟﺗﻣوﯾﮫ )‪:(Camouflage Viruses‬‬
‫ھذه اﻟﻔﯾروﺳﺎت ﺗﺧﻔﻲ ﻧﻔﺳﮭﺎ ﻋﻠﻰ أﻧﮭﺎ ﺗطﺑﯾﻘﺎت ﺣﻘﯾﻘﯾﺔ ﻟﻠﻣﺳﺗﺧدم‪ .‬ھذه اﻟﻔﯾروﺳﺎت ﻟﯾس ﻣن اﻟﺻﻌب اﻟﻌﺛور ﻣﻧذ أن ﺗﻘدﻣت ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ‬
‫اﻟﻔﯾروﺳﺎت إﻟﻰ اﻟﻧﻘطﺔ اﻟﺗﻲ ﯾﺗم ﻓﯾﮭﺎ ﺗﺗﺑﻊ ﻣﺛل ھذه اﻟﻔﯾروﺳﺎت ﺑﺳﮭوﻟﺔ‪.‬‬
‫‪ -‬ﻓﯾروﺳﺎت اﻟﻘذﯾﻔﺔ )‪:(shell viruses‬‬
‫اﻛواد ھذه اﻟﻔﯾروﺳﺎت ﺗﺷﻛل طﺑﻘﺔ ﺣول اﻛواد اﻟﺑرﻧﺎﻣﺞ اﻟﻣﺿﯾف اﻟﮭدف اﻟﺗﻲ ﯾﻣﻛن ﻣﻘﺎرﻧﺗﮭﺎ ﻣﺛل "ﻗﺷرة اﻟﺑﯾﺿﺔ"‪ ،‬ﻣﻣﺎ ﯾﺟﻌل ﻣن ﻧﻔﺳﮫ اﻟﺑرﻧﺎﻣﺞ‬
‫اﻷﺻﻠﻲ وأﻛواد اﻟﻣﺿﯾف ﺗﻌﺗﺑر روﺗﯾن ﻓرﻋﻰ‪ .‬ھﻧﺎ‪ ،‬ﯾﺗم ﻧﻘل اﻟﺗﻌﻠﯾﻣﺎت اﻟﺑرﻣﺟﯾﺔ اﻷﺻﻠﯾﺔ إﻟﻰ ﻣوﻗﻊ ﺟدﯾد ﺑواﺳطﺔ اﻛواد اﻟﻔﯾروس واﻟﻔﯾروس‬
‫ھو اﻟذي ﯾﻘوم ﺑﺗﻌرﯾﻔﮭﺎ‪.‬‬
‫‪ -‬ﻓﯾروﺳﺎت اﻣﺗداد اﻟﻣﻠﻔﺎت )‪:(File Extension Viruses‬‬
‫‪ File extension viruses‬ﺗﻘوم ﺑﺗﻐﯾر اﻣﺗدادات اﻟﻣﻠﻔﺎت; ﺣﯾث ان ‪ .TXT‬ﺑﯾﻛون اﻣن وھذا ﯾﺷﯾر اﻟﻰ ﻣﻠف ﻧﺻﻰ ﻧﻘﻰ‪ .‬ﻓﺎذا ﺗم ﻏﻠﻖ اﻣﻛﺎﻧﯾﮫ‬
‫رؤﯾﺔ اﻣﺗدادات اﻟﻣﻠﻔﺎت ﺛم ﻗﺎم ﺷﺧص ﻣﺎ ﺑﺎرﺳﺎل اﻟﻣﻠف ‪ BAD.TXT.VBS‬ﻓﺈﻧك ﺳوف ﺗرى ﻓﻘط ‪.BAD.TXT‬‬
‫‪:Add-on Viruses -‬‬
‫ﻣﻌظم اﻟﻔﯾروﺳﺎت ھﻲ ‪ .add-on viruses‬ھذا اﻟﻧوع ﻣن اﻟﻔﯾروﺳﺎت ﯾﻠﺣﻖ اﻷﻛواد اﻟﺧﺎﺻﺔ ﺑﮫ إﻟﻰ ﺑداﯾﺔ اﻛواد اﻟﻣﺿﯾف ﺑدون إﺟراء أﯾﺔ‬
‫ﺗﻐﯾﯾرات ﻋﻠﯾﮫ‪.‬‬

‫‪574‬‬
‫وﺑﺎﻟﺗﺎﻟﻲ‪ ،‬ﻓﺈن اﻟﻔﯾروس ﯾﻔﺳد ﻣﻌﻠوﻣﺎت ﺑدء اﻟﺗﺷﻐﯾل ﻻﻛواد اﻟﻣﺿﯾف‪ ،‬وﯾﺿﻊ ﻧﻔﺳﮫ ﻓﻲ ﻣﻛﺎﻧﮭﺎ‪ ،‬وﻟﻛﻧﮭﺎ ﻻ ﺗﻠﻣس اﻛواد اﻟﻣﺿﯾف‪ .‬وﻣﻊ ذﻟك‪ ،‬ﯾﺗم‬
‫ﺗﻧﻔﯾذ اﻛواد اﻟﻔﯾروس ﻗﺑل اﻛواد اﻟﻣﺿﯾف‪ .‬اﻻﺷﺎرة اﻟوﺣﯾد ﻋﻠﻰ أن اﻟﻣﻠف ﺗﺎﻟف أي ﻣﺻﺎب ﺑﮭذا اﻟﻧوع ﻣن اﻟﻔﯾروس ھو أن ﺣﺟم اﻟﻣﻠف ﻗد‬
‫ازداد‪.‬‬
‫‪ -‬اﻟﻔﯾروﺳﺎت اﻟﻣﺗطﻔﻠﺔ )‪:(Intrusive Viruses‬‬
‫ھذا اﻟﻧوع ﻣن اﻟﻔﯾروس ﯾﻘوم ﺑﻛﺗﺎﺑﺔ اﻛواده ﻓوق اﻛواد اﻟﺗطﺑﯾﻘﺎت إﻣﺎ ﻋن طرﯾﻖ اﻹزاﻟﺔ اﻟﺗﺎﻣﺔ ﻻﻛواد اﻟﺑرﻧﺎﻣﺞ اﻟﻣﺿﯾف اﻟﮭدف‪ ،‬أو ﻓﻲ ﺑﻌض‬
‫اﻷﺣﯾﺎن ﻓﺈﻧﮫ اﻟﻛﺗﺎﺑﺔ ﺗﻛون ﻓوق ﺟزء ﻣﻧﮫ ﻓﻘط‪ .‬ﻟذﻟك‪ ،‬ﻻ ﯾﺗم ﺗﻧﻔﯾذ اﻟﺗﻌﻠﯾﻣﺎت اﻟﺑرﻣﺟﯾﺔ اﻷﺻﻠﯾﺔ ﺑﺷﻛل ﺻﺣﯾﺢ‪.‬‬
‫‪ -‬ﻓﯾروﺳﺎت اﻟﻌﻣل اﻟﻣﺑﺎﺷر أو اﻟﻌﺎﺑرة )‪:(Direct Action or Transient Viruses‬‬
‫ھذه اﻟﻔﯾروﺳﺎت ﺗﻘوم ﺑﻧﻘل ﺟﻣﯾﻊ اﻟﺿواﺑط إﻟﻰ اﻛواد اﻟﻣﺿﯾف ﺣﯾث ﯾﻘﯾم‪ ،‬وﯾﺧﺗﺎر اﻟﺑرﻧﺎﻣﺞ اﻟﮭدف اﻟﻣراد ﺗﻌدﯾﻠﮫ‪ ،‬وﯾﻔﺳد ﻋﻠﯾﮫ‪.‬‬
‫‪:Tenninate and Stay Resident Viruses (TSRS) -‬‬
‫ﻓﯾروس ‪ TSR‬ﯾﺑﻘﻰ ﺑﺷﻛل داﺋم ﻓﻲ اﻟذاﻛرة أﺛﻧﺎء دورة اﻟﻌﻣل ﺑﺄﻛﻣﻠﮭﺎ‪ ،‬ﺣﺗﻰ ﺑﻌد ﺗﻧﻔﯾذ اﻟﺑرﻧﺎﻣﺞ اﻟﻣﺿﯾف اﻟﮭدف وإﻧﮭﺎؤھﺎ‪ .‬ﻻ ﯾﻣﻛن إزاﻟﺗﮫ إﻻ‬
‫ﻋن طرﯾﻖ إﻋﺎدة ﺗﺷﻐﯾل اﻟﻧظﺎم‪.‬‬
‫ﻓﯾروﺳﺎت ﻗطﺎع اﻟﺗﺷﻐﯾل )‪(System/Boot Sector Virus‬‬
‫‪ System sector virus‬ﯾﻣﻛن ﺗﻌرﯾﻔﮫ ﺑﺄﻧﮭﺎ ﺗﻠك اﻟﺗﻲ ﺗؤﺛر ﻋﻠﻰ اﻷﻛواد اﻟﻘﺎﺑﻠﺔ ﻟﻠﺗﻧﻔﯾذ )‪ (executable code‬ﻣن اﻟﻘرص‪ ،‬أﻣﺎ ﺑﺎﻟﻧﺳﺑﺔ ﻠ‬
‫‪ Boot sector virus‬ﻓﯾﻣﻛن ﺗﻌرﯾﻔﮫ ﻋﻠﻰ اﻧﮭﺎ ﺗﻠك اﻟﺗﻲ ﺗؤﺛر ﻋﻠﻰ ‪ DOS boot sector‬ﻣن اﻟﻘرص اﻟﺻﻠب‪.‬‬
‫ﻗﺑل أن ﺗﺗﻣﻛن ﻣن ﻓﮭم ﻣﺎ ﯾﻘوم ﺑﮫ ‪ ،Boot sector virus‬ﻓﻣن اﻟﻣﮭم أن ﻧﻌرف ﻣﺎ ھو ﻗطﺎع اﻟﺗﻣﮭﯾد)‪ . (boot sector‬وﯾﺗﻛون اﻟﻘرص‬
‫اﻟﺻﻠب ﻣن اﻟﻌدﯾد ﻣن ‪ segment‬وﻣﺟﻣوﻋﺎت ﻣن ‪ cluster‬ﻣن ‪ ،segment‬واﻟﺗﻲ ﻗد ﺗﻛون ﻣﻔﺻوﻟﺔ ﺑﺷﻲء ﯾﺳﻣﻰ ‪ .partition‬ﯾﺟب أن‬
‫ﯾﻛون ھﻧﺎك وﺳﯾﻠﺔ ﻟﻠﻌﺛور ﻋﻠﻰ ﺟﻣﯾﻊ اﻟﺑﯾﺎﻧﺎت اﻟﻣﻧﺗﺷرة ﻓﻲ ھذه ‪ ،segment‬وھﻛذا ﻓﺎن ﻋﻣل ﻗطﺎع اﻟﺗﻣﮭﯾد )‪ (boot sector‬ﻛﺄﻧﮫ ‪virtual‬‬
‫‪ .Dewey Decimal system‬ﯾﺣﺗوي ﻛل ﻗرص أﯾﺿﺎ ﻋﻠﻰ )‪ (MBR‬اﻟذي ﯾﺣدد ﻣوﻗﻊ وﯾدﯾر اﻷول ﻣن أي ﻣﻠﻔﺎت ﻧظﺎم اﻟﺗﺷﻐﯾل‬
‫اﻟﺿرورﯾﺔ اﻟﻼزﻣﺔ ﻟﺗﺳﮭﯾل ﺗﺷﻐﯾل اﻟﻘرص‪.‬‬
‫ﻋﻧدﻣﺎ ﯾﻘرأ اﻟﻘرص‪ ،‬ﻓﺎﻧﮫ ﯾﺳﻌﻰ أوﻻ اﻟﻰ ‪ ،MBR‬واﻟذي ﻣن ﺧﻼﻟﮫ ﯾﻣرر اﻟﺗﺣﻛم إﻟﻰ ﻗطﺎع اﻟﺗﻣﮭﯾد)‪ ، (boot sector‬واﻟﺗﻲ ﺗوﻓر ﺑدورھﺎ‬
‫اﻟﻣﻌﻠوﻣﺎت ذات اﻟﺻﻠﺔ ﺣول ﻣﺎ ﯾﻘﻊ ﻋﻠﻰ اﻟﻘرص وﺣﯾث ﯾﻘﻊ ذﻟك‪ .‬ﯾﺣﺗوي ﻗطﺎع اﻟﺗﻣﮭﯾد )‪ (boot sector‬أﯾﺿﺎ اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﺗﺣدد ﻧوع‬
‫وإﺻدار ﻧظﺎم اﻟﺗﺷﻐﯾل وﺗﮭﯾﺋﺔ اﻟﻘرص ﻣﻊ‪.‬‬
‫ﻣﻠﺧص ھذا أن أي ﻧظﺎم ﯾﻧﻘﺳم اﻟﻰ ﻋدة ﻣﻧﺎطﻖ ﺗﻠك اﻟﻣﻧﺎطﻖ ﯾطﻠﻖ ﻋﻠﯾﮭﺎ ﺳﻛﺗور )‪ (sector‬أي اﻟﻘطﺎﻋﺎت‪ ،‬ﺣﯾث ﯾﺗم ﺗﺧزﯾن‬
‫اﻟﺗطﺑﯾﻘﺎت‪/‬اﻟﺑراﻣﺞ‪ .‬وﻛﻣﺎ ﯾﺷﯾر اﺳﻣﮭﺎ‪ system sector (or boot sector) viruses ،‬ﺗﻘوم ﺑزرع ﻧﻔﺳﮭﺎ ﻓﻲ ﻗطﺎﻋﺎت )‪(sector‬ﻧظﺎم‬
‫اﻟﻛﻣﺑﯾوﺗر‪ .‬ﻗطﺎﻋﺎت اﻟﻧظﺎم ھﻲ ﻣﻧﺎطﻖ ﺧﺎﺻﺔ ﻋﻠﻰ اﻟﻘرص‪ ،‬اﻟﺗﻲ ﺗﺣﺗوي ﻋﻠﻰ اﻟﺑراﻣﺞ اﻟﺗﻲ ﯾﺗم ﺗﻧﻔﯾذھﺎ‪ ،‬ﻋﻧد ﺗﺷﻐﯾل ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص‬
‫ﺑك‪ .‬اﻟﻘطﺎﻋﺎت ﻟﯾﺳت ﻣﻠﻔﺎت‪ ،‬وﻟﻛن ﺑﺑﺳﺎطﺔ ﻋﺑﺎره ﻋن ﻣﻧﺎطﻖ ﺻﻐﯾرة ﻋﻠﻰ اﻟﻘرص‪ ،‬أن اﻟﺟﮭﺎز ﯾﻘرأ ﻗطﺎع واﺣد‪ .‬ھذه اﻟﻘطﺎﻋﺎت ھﻲ ﻏﯾر‬
‫ﻣرﺋﯾﺔ ﻟﻠﺑراﻣﺞ اﻟﻌﺎدﯾﺔ وﻟﻛﻧﮭﺎ ﻣﮭﻣﮫ ﺑﺎﻟﻧﺳﺑﺔ ﻟﻌﻣﻠﯾﺔ اﻟﺗﺷﻐﯾل اﻟﺻﺣﯾﺣﺔ ﻟﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك‪ .‬واﻟﺗﻲ ﺗﻌﺗﺑر ھدف ﺣﯾوي ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﻔﯾروس‪.‬‬
‫ھﻧﺎك ﻧوﻋﺎن ﻣن ﻗطﺎﻋﺎت اﻟﻧظﺎم اﻟﺗﻲ ﺗوﺟد ﻋﻠﻰ أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر وﯾﻧدوز‪/‬دوس‪:‬‬
‫)‪DOS boot sectors and partition sectors (also known as master boot records or MBR‬‬
‫‪MBR (Master Boot Record) -‬‬
‫‪ MBRs‬ھﻲ أﻛﺛر اﻟﻣﻧﺎطﻖ اﻟﻣﻌرﺿﺔ ﻟﻠﻔﯾروﺳﺎت ﻷﻧﮫ إذا ﺣدث ﺗﻠف ﻠﻠ ‪ ،MBR‬ﻓﺎﻧﮫ ﺳﯾﺗم ﻓﻘدان ﺟﻣﯾﻊ اﻟﺑﯾﺎﻧﺎت‪ .‬ھذا اﻟﺟزء ﻓﻲ اﻷﻧظﻣﺔ‬
‫اﻟﺣدﯾﺛﺔ اﻟﺗﻲ ﺗﻌﺗﻣد ﻋﻠﻰ ‪ BIOS‬ﻣن اﻟﻧوع ‪ UEFI‬ﻗد ﺗم اﺳﺗﺑداﻟﮫ اﻟﻰ ﻧظﺎم ‪.GPT‬‬
‫‪DBR (DOS Boot Record) -‬‬
‫ﯾﺗم ﺗﻧﻔﯾذ اﻟﻘطﺎع ‪ DBR‬ﻛﻠﻣﺎ ﯾﺗم ﺗﺷﻐﯾل اﻟﻧظﺎم‪ .‬ﺣﯾث ﺗﻌﺗﺑر ھذه ھﻲ اﻟﻧﻘطﺔ اﻟﺣﺎﺳﻣﺔ ﻟﻠﮭﺟوم ﻣن ﻗﺑل اﻟﻔﯾروﺳﺎت‪.‬‬
‫ﻗطﺎع اﻟﻧظﺎم )‪ (System sector‬ﯾﺗﻛون ﻣن ‪ 512‬ﺑﺎﯾت ﻣن اﻟذاﻛرة‪ .‬وﺑﻣﺎ اﻧﮫ ﻟﯾس ھﻧﺎك اﻟﻛﺛﯾر ﻣن اﻟﻣﺳﺎﺣﺎت ﻓﻲ ﻗطﺎع اﻟﻧظﺎم‪ ،‬ﻓﺎن ھذه‬
‫اﻟﻔﯾروﺳﺎت ﻏﺎﻟﺑﺎ ﻣﺎ ﺗﻘوم ﺑﺈﺧﻔﺎء اﻟﺗﻌﻠﯾﻣﺎت اﻟﺑرﻣﺟﯾﺔ اﻟﺧﺎﺻﺔ ﺑﮭﺎ ﻓﻲ ﻣﻛﺎن آﺧر ﻋﻠﻰ اﻟﻘرص‪ .‬واﻟﺗﻲ ﻓﻲ ﺑﻌض اﻷﺣﯾﺎن ﯾﺳﺑب ﻣﺷﺎﻛل ﻋﻧد ھذه‬
‫اﻟﺑﻘﻌﺔ اﻟﺗﻲ ﺗﺣﺗوي ﺑﺎﻟﻔﻌل ﻋﻠﻰ اﻟﺑﯾﺎﻧﺎت‪ ،‬إذا ﺣدث إﻋﺎدة اﻟﻛﺗﺎﺑﺔ ﻋﻠﯾﮭﺎ‪ .‬وﻟﻛن ﻓﻲ ﺑﻌض اﻷﺣﯾﺎن ﻓﺎن ‪ Boot sector virus‬ﯾﻘوم ﺑﺗﺣرﯾك‬
‫‪ MBR‬إﻟﻰ ﻣوﻗﻊ آﺧر ﻋﻠﻰ اﻟﻘرص اﻟﺛﺎﺑت وﻧﺳﺦ ﻧﻔﺳﮫ إﻟﻰ اﻟﻣوﻗﻊ اﻷﺻﻠﻲ ﻣن ‪ .MBR‬ﻓﻌﻧدﻣﺎ ﯾﺑدا ﺗﺷﻐﯾل ﻧظﺎم اﻟﺗﺷﻐﯾل ﻓﺎﻧﮫ ﯾﺑدا أوﻻ‬
‫ﺑﺗﺷﻐﯾل اﻷﻛواد اﻟﺧﺎﺻﺔ ﺑﺎﻟﻔﯾروس وﻣن ﺛم ﯾﻧﻘل اﻟﺗﺣﻛم اﻟﻰ ‪.MBR‬‬

‫‪575‬‬
‫اﻟﺤﺎﻣﻞ اﻟﺮﺋﯿﺴﻲ ﻠ ‪ System sector virus‬ھﻮ ‪ .floppy disk‬ھﺬه اﻟﻔﯿﺮوﺳﺎت ﯾﻘﯿﻤﻮن ﻋﺎدة ﻓﻲ اﻟﺬاﻛﺮة‪ .‬ﻛﻤﺎ أﻧﮭﺎ ﯾﻤﻜﻦ أن ﺗﻜﻮن ﻧﺎﺟﻤﺔ ﻋﻦ‬
‫ﺣﺼﺎن طﺮوادة‪ .‬أﯾﻀﺎ ﺑﻌﺾ ﻣﻦ ‪ sector virus‬ﺗﻨﺘﺸﺮ ﻣﻦ ﺧﻼل اﻟﻤﻠﻔﺎت اﻟﻤﺼﺎﺑﺔ‪ ،‬وﯾﻄﻠﻖ ﻋﻠﯿﮭﺎ أﯾﻀﺎ ﻓﯿﺮوﺳﺎت ﻣﺘﻌﺪدة اﻷﺟﺰاء‬
‫)‪.(multipart viruses‬‬
‫إزاﻟﺔ اﻟﻔﯾروس )‪(Virus Removal‬‬

‫ﺗم ﺗﺻﻣﯾم ﻧظﺎم ﻓﯾروﺳﺎت اﻟﻘطﺎع )‪ (sector virus‬ﻟﺧﻠﻖ اﻟوھم ﺑﺄﻧﮫ ﻟﯾس ھﻧﺎك أي ﻓﯾروس ﻋﻠﻰ اﻟﻧظﺎم‪ .‬طرﯾﻘﺔ واﺣدة ﻟﻠﺗﻌﺎﻣل ﻣﻊ ھذا اﻟﻧوع‬
‫ﻣن اﻟﻔﯾروس ھو ﺗﺟﻧب اﺳﺗﺧدام ﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻧدوز‪ ،‬واﻟﺗﺣول إﻟﻰ ﻟﯾﻧﻛس أو ﻣﺎك‪ ،‬وذﻟك ﻷن وﯾﻧدوز ھو أﻛﺛر ﻋرﺿﺔ ﻟﮭذه اﻟﮭﺟﻣﺎت‪.‬‬
‫ﻟﯾﻧﻛس وﻣﺎﻛﻧﺗوش ﯾﺣﺗوي ﻋﻠﻰ ‪ safeguard‬ﻣدﻣﺟﺔ ﺑﮫ وذﻟك ﻟﻠﺣﻣﺎﯾﺔ ﺿد ھذه اﻟﻔﯾروﺳﺎت‪ .‬واﻟطرﯾﻘﺔ اﻷﺧرى ھﻲ ﺗﻧﻔﯾذ اﻟﻔﺣص ﻣن ﻗﺑل‬
‫ﺗطﺑﯾﻘﺎت ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻋﻠﻰ أﺳﺎس دوري وھذا ﺻﻌب ﺟدا ﻓﻲ اﻛﺗﺷﺎﻓﮫ‪.‬‬
‫‪File and Multipartite Viruses‬‬
‫ﻓﯿﺮوﺳﺎت اﻟﻤﻠﻔﺎت )‪(File viruses‬‬
‫ﻓﯾروﺳﺎت اﻟﻣﻠﻔﺎت ﺗﺻﯾب اﻟﻣﻠﻔﺎت اﻟﺗﻲ ﯾﺗم ﺗﻧﻔﯾذھﺎ أو ﺗﻔﺳﯾرھﺎ ﻣن ﻗﺑل اﻟﻧظﺎم ﻣﺛل ‪،PRG ،OBJ ،OVL ،SYS ،EXE ،COM‬‬
‫‪ ،MNU‬وﻣﻠﻔﺎت ‪ .BAT‬ﻓﯾروﺳﺎت اﻟﻣﻠﻔﺎت ﯾﻣﻛﻧﮭﺎ أن ﺗﻛون إﻣﺎ ﺗﻌﻣل ﻣﺑﺎﺷرة ))‪ (direct-action (non-resident‬أو ﺗﻘﯾم ﻓﻲ اﻟذاﻛرة‬
‫‪ .memory-resident‬ﻣطوري ھذه اﻟﻔﯾروﺳﺎت ﯾﺳﺑﺑوا ﺿررا ﻻ رﺟﻌﺔ ﻓﯾﮫ إﻟﻰ اﻟﻣﻠﻔﺎت‪ .‬ھذه اﻟﻔﯾروﺳﺎت ﺗﺳﺗﮭدف أﺳﺎﺳﺎ ﻣﺟﻣوﻋﺔ ﻣن‬
‫أﻧظﻣﺔ اﻟﺗﺷﻐﯾل اﻟﺗﻲ ﺗﺷﻣل وﯾﻧدوز‪ ،‬ﯾوﻧﯾﻛس‪ ،‬دوس‪ ،‬وﻣﺎﻛﻧﺗوش‪.‬‬
‫ﻣﻣﯾزات ﻓﯾروﺳﺎت اﻟﻣﻠف‪:‬‬

‫ﻓﯾروﺳﺎت اﻟﻣﻠف ﯾﺗم ﺗﻣﯾزھﺎ ووﺻﻔﮭﺎ ﻋﻠﻰ أﺳﺎس ﺳﻠوﻛﮭم اﻟﻣﺎدي )‪ (Physical behavior‬أو اﻟﺧﺻﺎﺋص‪ .‬ﯾﺗم ﺗﺻﻧﯾف ﻓﯾروﺳﺎت‬
‫اﻟﻣﻠف ﻋﻠﻰ ﺣﺳب ﻧوع اﻟﻣﻠف اﻟذي ﯾﺳﺗﮭدﻓﮫ‪ ،‬ﻣﺛل ‪ EXE‬أو ﻣﻠﻔﺎت‪ ، COM‬ﻗطﺎع اﻟﺗﻣﮭﯾد وﻣﺎ اﻟﻰ ذﻟك‪ .‬ﯾﻣﻛن أﯾﺿﺎ أن ﯾﺗم وﺻف ﻓﯾروس‬
‫ﻣﻠف ﻋﻠﻰ اﺳﺎس ﻛﯾﻔﯾﺔ إﺻﺎﺑﺗﮫ اﻟﻣﻠف اﻟﻣﺳﺗﮭدف )اﻟﻣﻌروف أﯾﺿﺎ ﺑﺎﺳم ﻣﻠﻔﺎت اﻟﻣﺿﯾف(‪:‬‬
‫‪ :Prepending‬ﯾﻛﺗب ﻧﻔﺳﮫ ﻓﻲ ﺑداﯾﺔ اﻛواد اﻟﻣﻠف اﻟﻣﺿﯾف‪.‬‬
‫‪ :Appending‬ﯾﻛﺗب ﻧﻔﺳﮭﺎ إﻟﻰ ﻧﮭﺎﯾﺔ اﻟﻣﻠف اﻟﻣﺿﯾف‬
‫‪ :Overwriting‬ﯾﻘوم ﺑﺎﻟﻛﺗﺎﺑﺔ ﻓوق اﻛواد اﻟﻣﻠف اﻟﻣﺿﯾف ﻣﻊ اﻷﻛواد اﻟﺧﺎﺻﺔ ﺑﮫ‪.‬‬

‫‪576‬‬
‫‪ :Inserting‬ﯾﻘوم ﺑﺈدراج ﻧﻔﺳﮫ ﻓﻲ ﻓﺟوات داﺧل ﻛود اﻟﻣﻠف اﻟﻣﺿﯾف‪.‬‬

‫‪ :Companion‬ﯾﻘوم ﺑﺈﻋﺎدة ﺗﺳﻣﯾﺔ اﻟﻣﻠف اﻷﺻﻠﻲ وﯾﻛﺗب ﻧﻔﺳﮫ ﻣﻊ اﺳم اﻟﻣﻠف اﻟﻣﺿﯾف‪.‬‬
‫‪ :Cavity infector‬ﯾﻛﺗب ﻧﻔﺳﮫ ﺑﯾن أﺟزاء ﻣﻠف ذات ‪ 32‬ﺑت‪.‬‬
‫ﺗﺻﻧف ﻓﯾروﺳﺎت اﻟﻣﻠف أﯾﺿﺎ ﻋﻠﻰ أﺳﺎس ﻣﺎ إذا ﻛﺎﻧت ﻏﯾر ﻣﻘﯾﻣﮫ ﻓﻲ اﻟذاﻛرة أو ﻣﻘﯾﻣﺔ ﻓﻲ اﻟذاﻛرة‪ .‬اﻟﻔﯾروﺳﺎت اﻟﻐﯾر ﻣﻘﯾﻣﮫ ﻓﻲ اﻟذاﻛرة ﺗﺑﺣث‬
‫ﻋن ﻣﻠﻔﺎت ‪ EXE‬ﻋﻠﻰ اﻟﻘرص اﻟﺻﻠب ﺛم ﺗﻧﻘل اﻟﻌدوى اﻟﯾﮫ‪ ،‬ﻓﻲ ﺣﯾن أن اﻟﻔﯾروﺳﺎت اﻟﻣﻘﯾﻣﺔ ﻓﻲ اﻟذاﻛرة ﺗﺑﻘﻰ ﺑﻧﺷﺎط ﻓﻲ اﻟذاﻛرة‪ ،‬وﺗﺻﯾد واﺣد‬
‫أو أﻛﺛر ﻣن وظﺎﺋف اﻟﻧظﺎم‪ .‬وﯾﻘﺎل إن ﻓﯾروﺳﺎت اﻟﻣﻠف ﺗﻛون ﻣﺗﻌددة اﻷﺷﻛﺎل)‪ ، (polymorphic‬ﻣﺷﻔرة)‪ ،(encrypted‬أو ﻏﯾر ﻣﺷﻔرة‪.‬‬
‫اﻟﻔﯾروﺳﺎت ﻣﺗﻌدد اﻷﺷﻛﺎل أو اﻟﻣﺷﻔر ﯾﺣﺗوي ﻋﻠﻰ واﺣد أو أﻛﺛر ﻣن ‪) decryptor‬ﻓﺎﻛك اﻟﺗﺷﻔﯾر( ﺑﺎﻹﺿﺎﻓﺔ اﻟﻰ اﻛواده اﻟرﺋﯾﺳﯾﺔ‪ .‬ﯾﺗم ﻓك‬
‫ﺗﺷﻔﯾر اﻛواد اﻟﻔﯾروس اﻟرﺋﯾﺳﻲ ﺑواﺳطﺔ ‪ decryptor‬ﻗﺑل أن ﺗﺑدأ‪ .‬ﯾﺳﺗﺧدم اﻟﻔﯾروس اﻟﻣﺷﻔرة ﻋﺎدة ‪ decryptor‬ﻣﺗﻐﯾر أو ﻣﻔﺗﺎح ﺛﺎﺑﺗﺔ‪ ،‬ﻓﻲ‬
‫ﺣﯾن أن اﻟﻔﯾروﺳﺎت ﻣﺗﻌددة اﻷﺷﻛﺎل ﺗﺣﺗوي ﻋﻠﻰ ‪ decryptors‬ﯾﺗم إﻧﺷﺎؤھﺎ ﻋﺷواﺋﯾﺎ ﻣن ﺗﻌﻠﯾﻣﺎت اﻟﻣﻌﺎﻟﺟﺎت واﻟﺗﻲ ﺗﺗﻛون ﻣن اﻟﻛﺛﯾر ﻣن‬
‫اﻷواﻣر اﻟﺗﻲ ﻻ ﯾﺗم اﺳﺗﺧداﻣﮭﺎ ﻓﻲ ﻋﻣﻠﯾﺔ ﻓك اﻟﺗﺷﻔﯾر‪.‬‬
‫‪) Execution of Payload‬طرق ﺗﻧﻔﯾذ اﻟﻔﯾروس(‪:‬‬

‫‪ :Direct action -‬أي ﯾﺗم ﺗﻧﻔﯾذھﺎ ﻓورا‪/‬ﻣﺑﺎﺷرة‪.‬‬
‫‪ :Time bomb -‬ﯾﺗم ﺗﻧﻔﯾذھﺎ ﺑﻌد ﻓﺗره ﻣﺣدده ﻣن اﻟوﻗت‪.‬‬
‫‪ :Condition triggered -‬ﯾﺗم ﺗﻧﻔﯾذھﺎ ﺗﺣت ظروف ﻣﻌﯾﻧﮫ‪.‬‬
‫‪Multipartite Viruses‬‬
‫‪) Multipartite virus‬ﻓﯾروﺳﺎت ﻣﺗﻌددة اﻷﺟزاء( ﯾطﻠﻖ ﻋﻠﯾﮫ أﯾﺿﺎ ‪ multi-part virus‬اﻟذي ﺗﺣﺎول ﻣﮭﺎﺟﻣﺔ ﻛل ﻣن ﻗطﺎع اﻟﺗﻣﮭﯾد‬
‫واﻟﻣﻠﻔﺎت اﻟﻘﺎﺑﻠﺔ ﻟﻠﺗﻧﻔﯾذ أو ﻣﻠﻔﺎت اﻟﺑرﻧﺎﻣﺞ ﻓﻲ ﻧﻔس اﻟوﻗت‪ .‬ﻋﻧدﻣﺎ ﯾﺗم إرﻓﺎق اﻟﻔﯾروس ‪ RGW‬إﻟﻰ ﻗطﺎع اﻟﺗﻣﮭﯾد‪ ،‬ﻓﺎﻧﮫ ﺳوف ﯾؤﺛر ﺑدوره ﻋﻠﻰ‬
‫ﻣﻠﻔﺎت اﻟﻧظﺎم‪ ،‬وﻣن ﺛم ﯾرﺗﺑط اﻟﻔﯾروس ﺑﺎﻟﻣﻠﻔﺎت‪ ،‬وھذه اﻟﻣرة ﺳﯾﻘوم ﺑدوره ﺑﺈﺻﺎﺑﺔ ﻗطﺎع اﻟﺗﻣﮭﯾد‪.‬‬
‫ﻓﯾروﺳﺎت اﻟﻣﺎﻛرو )‪(Macro Viruses‬‬
‫‪ Microsoft Word‬أو اﻟﺗطﺑﯾﻘﺎت اﻟﻣﻣﺎﺛﻠﺔ ﯾﻣﻛﻧﮭﺎ أن ﺗﺻﺎب ﺑواﺳطﺔ ﻓﯾروﺳﺎت اﻟﻛﻣﺑﯾوﺗر وﯾﺳﻣﻰ ھدا اﻟﻧوع ﻣن اﻟﻔﯾروﺳﺎت ﻓﯾروس‬
‫اﻟﻣﺎﻛرو‪ ،‬واﻟذي ﯾؤدي ﺗﻠﻘﺎﺋﯾﺎ ﺳﻠﺳﻠﺔ ﻣن اﻹﺟراءات ﻋﻧدﻣﺎ ﯾﺗم ﺗﺷﻐﯾل اﻟﺗطﺑﯾﻖ أو أي ﺷﻲء آﺧر‪ .‬ﺗﺗم ﻛﺗﺎﺑﺔ ﻣﻌظم ﻓﯾروﺳﺎت اﻟﻣﺎﻛرو ﺑﺎﺳﺗﺧدام‬
‫ﻟﻐﺔ ﻣﺎﻛرو )‪ Visual Basic for Applications (VBA‬ﺣﯾث أﻧﮭﺎ ﺗﺻﯾب اﻟﻘواﻟب)‪ (templet‬أو ﺗﻘوم ﺑﺗﺣوﯾل اﻟوﺛﺎﺋﻖ)‪(document‬‬
‫اﻟﻣﺻﺎﺑﺔ إﻟﻰ ﻣﻠﻔﺎت اﻟﻘﺎﻟب )‪ ،(templet file‬ﻣﻊ اﻟﺣﻔﺎظ ﻋﻠﻰ ﻣظﮭرھﺎ ﻋﻠﻰ اﻧﮭﺎ ﻣﻠﻔﺎت ﻣﺳﺗﻧدات ﻋﺎدﯾﺔ‪ .‬ﻓﯾروﺳﺎت اﻟﻣﺎﻛرو ﻓﻲ ﻛﺛﯾر ﻣن‬
‫اﻷﺣﯾﺎن ھو أﻗل ﺿررا ﻣن اﻷﻧواع اﻷﺧرى‪ .‬ﻋﺎدة ﻣﺎ ﯾﻧﺗﺷرون ﻋﺑر اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ‪ .‬ﻣﻠﻔﺎت اﻟﺑﯾﺎﻧﺎت اﻟﻧﻘﯾﺔ ﻻ ﺗﺳﻣﺢ ﺑﺎﻧﺗﺷﺎر اﻟﻔﯾروﺳﺎت‪،‬‬
‫وﻟﻛن أﺣﯾﺎﻧﺎ اﻟﺧط اﻟﻔﺎﺻل ﺑﯾن ﻣﻠف اﻟﺑﯾﺎﻧﺎت واﻟﻣﻠف ﺗﻧﻔﯾذي ﯾﺗم اﻟﺗﻐﺎﺿﻲ ﻋﻧﮫ ﺑﺳﮭوﻟﺔ ﻣن ﻗﺑل اﻟﻣﺳﺗﺧدم اﻟﻌﺎدي ﻧظرا ﻻﺳﺗﺧدام ﻟﻐﺎت اﻟﻣﺎﻛرو‬
‫اﻟواﺳﻌﺔ ﻓﻲ ﺑﻌض اﻟﺑراﻣﺞ‪ .‬ﻓﻲ ﻣﻌظم اﻟﺣﺎﻻت‪ ،‬ﻓﻘط ﻟﺟﻌل اﻻﻣور ﺳﮭﻠﺔ ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﻣﺳﺗﺧدﻣﯾن‪ ،‬ﻓﺎن اﻟﺧط اﻟﻔﺎﺻل ﺑﯾن ﻣﻠف اﻟﺑﯾﺎﻧﺎت واﻟﺑراﻣﺞ‬
‫ﺗﺑدأ ﻟﻠﺗﻣوﯾﮫ ﻓﻘط ﻓﻲ اﻟﺣﺎﻻت اﻟﺗﻲ ﯾﺗم ﺗﻌﯾﯾن وﺣدات اﻟﻣﺎﻛرو اﻻﻓﺗراﺿﯾﺔ ﻟﻠﺗﺷﻐﯾل ﺗﻠﻘﺎﺋﯾﺎ ﻓﻲ ﻛل ﻣرة ﯾﺗم ﺗﺣﻣﯾل ﻣﻠف اﻟﺑﯾﺎﻧﺎت‪ .‬ﻛﺎﺗﺑوا‬
‫اﻟﻔﯾروﺳﺎت ﯾﻣﻛﻧﮭم ‪ exploit‬ﺑراﻣﺞ ﺷﺎﺋﻌﮫ ﻣﻊ ﻗدرة اﻟﻣﺎﻛرو ﻣﺛل ‪ Microsoft Word‬و‪ Excel‬وﺑراﻣﺞ ‪ Office‬اﻷﺧرى‪ .‬ﯾﻣﻛن أﯾﺿﺎ أن‬
‫ﺗﺣﺗوي ﻣﻠﻔﺎت اﻟﻣﺳﺎﻋدة ﻟﻠوﯾﻧدوز )‪ (Windows Help files‬ﻋﻠﻰ اﻛواد اﻟﻣﺎﻛرو‪ .‬ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك‪ ،‬ﻓﺎن أﺣدث ‪ exploit‬ﻠﻠ ‪macrocode‬‬
‫ﻣوﺟود ﻓﻲ اﻟﻧﺳﺧﺔ اﻟﻛﺎﻣﻠﺔ ﻣن ﺑرﻧﺎﻣﺞ أﻛروﺑﺎت اﻟذي ﯾﻘرأ وﯾﻛﺗب ﻣﻠﻔﺎت ‪.PDF‬‬

‫‪577‬‬
‫اﻟﻔﯾروﺳﺎت اﻟﻌﻧﻘودﯾﺔ )‪(Cluster Viruses‬‬
‫‪ Cluster virus’s‬ﺗﺻﯾب اﻟﻣﻠﻔﺎت دون ﺗﻐﯾﯾر اﻟﻣﻠف أو زرع ﻣﻠﻔﺎت إﺿﺎﻓﯾﺔ وﻟﻛن ﺗﻘوم ﺑﺗﻐﯾر ﻣﻌﻠوﻣﺎت اﻟدﻟﯾل ‪ DOS‬ﺑﺣﯾث ﺗﺷﯾر‬
‫اﻻدﺧﺎﻻت إﻟﻰ اﻛواد اﻟﻔﯾروس ﺑدﻻ ﻣن اﻛواد اﻟﺑرﻧﺎﻣﺞ اﻟﻔﻌﻠﻲ‪ .‬ﻋﻧد ﺗﺷﻐﯾل ﺑرﻧﺎﻣﺞ ‪ ،DOS‬ﻓﺎﻧﮫ ﯾﻘوم أوﻻ ﺑﺗﺣﻣﯾل وﺗﺷﻐﯾل اﻛواد اﻟﻔﯾروس‪،‬‬
‫وﻣن ﺛم ﯾﻘوم اﻟﻔﯾروس ﺑﺗﺣدﯾد ﻣوﻗﻊ اﻟﺑرﻧﺎﻣﺞ اﻟﻔﻌﻠﻲ وﯾﻘوم ﺑﺗﺷﻐﯾﻠﮫ‪ DIR-2 .‬ھو ﻣﺛﺎل ﻟﮭذا اﻟﻧوع ﻣن اﻟﻔﯾروس‪ .‬اﻟﻔﯾروﺳﺎت اﻟﻌﻧﻘودﯾﺔ ﺗﻘوم‬
‫ﺑﺗﻌدﯾل إدﺧﺎﻻت ﺟدول اﻟدﻟﯾل ﺑﺣﯾث ﺗﺷﯾر إدﺧﺎﻻت اﻟدﻟﯾل إﻟﻰ اﻛواد اﻟﻔﯾروس‪ .‬ھﻧﺎك ﻧﺳﺧﺔ واﺣدة ﻓﻘط ﻣن اﻟﻔﯾروس ﻋﻠﻰ اﻟﻘرص ﺗﻘوم ﺑﺈﺻﺎﺑﺔ‬
‫ﺟﻣﯾﻊ اﻟﺑراﻣﺞ ﻓﻲ ﻧظﺎم اﻟﻛﻣﺑﯾوﺗر‪ .‬اﻧﮭﺎ ﺳﺗطﻠﻖ ﻧﻔﺳﮭﺎ أوﻻ ﻋﻧد ﺑدء أي ﻣن اﻟﺑراﻣﺞ ﻋﻠﻰ ﻧظﺎم اﻟﻛﻣﺑﯾوﺗر ﺑﺎﻟﻌﻣل وﻣن ﺛم ﯾﺗم ﺗﻣرﯾر اﻟﺗﺣﻛم إﻟﻰ‬
‫اﻟﺑرﻧﺎﻣﺞ اﻟﻔﻌﻠﻲ‪.‬‬
‫‪Stealth/Tunneling Viruses‬‬
‫‪ -‬اﻟﻔﯾروس اﻟﺷﺑﺢ )‪(Stealth viruses‬‬

‫ھذه اﻟﻔﯾروﺳﺎت ﺗﺣﺎول إﺧﻔﺎء أﻧﻔﺳﮭﺎ ﻣن ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻋن طرﯾﻖ ﺗﻐﯾﯾر اﻟﻧﺷﺎط وإﻓﺳﺎد ‪ service call interrupts‬اﻟﻣﺧﺗﺎرة‬
‫ﻋﻧدﻣﺎ ﯾﺗم ﺗﺷﻐﯾﻠﮭﺎ‪ .‬ﺣﯾث ﯾﺗم اﺳﺗﺑدال طﻠﺑﺎت ﺗﻧﻔﯾذ اﻟﻌﻣﻠﯾﺎت اﻟﺗﻲ ﺗﺗﻌﻠﻖ ﺒ ‪ service call interrupts‬ﺑﺄﻛواد اﻟﻔﯾروس‪ .‬ھذه اﻟﻔﯾروﺳﺎت‬
‫ﺗﻌرض ﻣﻌﻠوﻣﺎت ﻛﺎذﺑﺔ ﻹﺧﻔﺎء وﺟودھﺎ ﻋن ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت‪ .‬ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل‪ ،‬ﺣﯾث ﯾﻘوم اﻟﻔﯾروس اﻟﺷﺑﺢ ﺑﺈﺧﻔﺎء اﻟﻌﻣﻠﯾﺎت اﻟﺗﻲ ﺗم‬
‫ﺗﻌدﯾﻠﮭﺎ وإﻋطﺎء ﺑدﻻ ﻣﻧﮭﺎ ﺗﻣﺛﯾل زاﺋﻔﺔ‪ .‬وﺑﺎﻟﺗﺎﻟﻲ‪ ،‬ﻓﺈﻧﮫ ﯾﺄﺧذ أﺟزاء ﻣن اﻟﻧظﺎم اﻟﮭدف وﯾﺧﻔﻲ اﻛواد اﻟﻔﯾروس ﻓﯾﮭﺎ‪.‬‬
‫اﻟﻔﯾروس اﻟﺷﺑﺢ ﯾﺧﻔﻲ ﻧﻔﺳﮫ ﻋن ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻋن طرﯾﻖ إﺧﻔﺎء اﻟﺣﺟم اﻷﺻﻠﻲ ﻟﻠﻣﻠف أو وﺿﻊ ﻧﺳﺧﺔ ﻣن ﻧﻔﺳﮭﺎ ﻣؤﻗﺗﺎ ﻓﻲ ﺑﻌض‬
‫اﻷﻗراص اﻷﺧرى ﻟﻠﻧظﺎم‪ ،‬وﺑﺎﻟﺗﺎﻟﻲ ﯾﺳﺗﺑدل اﻟﻣﻠف اﻟﻣﺻﺎب ﻣﻊ اﻟﻣﻠف اﻟﺳﻠﯾم اﻟﺗﻲ ﺗم ﺗﺧزﯾﻧﮫ ﻋﻠﻰ اﻟﻘرص اﻟﺻﻠب‪.‬‬
‫اﻟﻔﯾروس اﻟﺷﺑﺢ ﯾﻘوم ﺑﺈﺧﻔﺎء اﻟﺗﻌدﯾﻼت اﻟﺗﻲ ﯾﺟرﯾﮭﺎ‪ .‬ﻓﺈﻧﮫ ﯾﺄﺧذ اﻟﺳﯾطرة ﻋﻠﻰ وظﺎﺋف اﻟﻧظﺎم اﻟﺗﻲ ﺗﻘوم ﺑﻘراءة اﻟﻣﻠﻔﺎت أو ﻗطﺎﻋﺎت اﻟﻧظﺎم‪،‬‬
‫وﻋﻧدﻣﺎ ﯾطﻠب ﺑرﻧﺎﻣﺞ آﺧر اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﺳﺑﻖ ﺗﻌدﯾﻠﮭﺎ ﻣن ﻗﺑل اﻟﻔﯾروس‪ ،‬ﻓﺎن اﻟﻔﯾروس اﻟﺷﺑﺢ ﯾﻌطﻰ ﺗﻘﺎرﯾر ﻋن ﺗﻠك اﻟﻣﻌﻠوﻣﺎت إﻟﻰ اﻟﺑرﻧﺎﻣﺞ‬
‫اﻟطﺎﻟب ﺑدﻻ ﻣن اﻟﺑرﻧﺎﻣﺞ اﻷﺻﻠﻲ‪ .‬ﯾﺗواﺟد ھذا اﻟﻔﯾروس أﯾﺿﺎ ﻓﻲ اﻟذاﻛرة‪.‬‬
‫ﻟﺗﺟﻧب اﻟﻛﺷف‪ ،‬ھذه اﻟﻔﯾروﺳﺎت ﺗﺄﺧذ داﺋﻣﺎ اﻟﺗﺣﻛم ﻓﻲ وظﺎﺋف اﻟﻧظﺎم واﺳﺗﺧداﻣﮭﺎ ﻹﺧﻔﺎء وﺟودھﺎ‪.‬‬
‫واﺣد ﻣن ﺣواﻣل اﻟﻔﯾروس اﻟﺷﺑﺢ ھو ‪ .rootkit‬ﺗﺛﺑﯾت ‪ rootkit‬ﻋﺎﻣﺔ ﯾﻧﺗﺞ ﻋﻧﮫ ھﺟوم ھدا اﻟﻔﯾروس وذﻟك ﻻن ‪ rootkit‬ﯾﺗم ﺗﺛﺑﯾﺗﮫ ﻣن ﺧﻼل‬
‫ﺣﺻﺎن طروادة‪ ،‬وھذا ﻗﺎدر ﻋﻠﻰ إﺧﻔﺎء أي ﻣن اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ‪.‬‬
‫إزاﻟﺔ اﻟﻔﯾروس )‪(virus removal‬‬
‫‪ -‬داﺋﻣﺎ ﺗﻔﻌﯾل اﻟﺗﻣﮭﯾد اﻟﺑﺎرد}‪) {cold boot‬أي اﻟﺗﻣﮭﯾد ﻣن ﻗرص ﻣرن أو ‪ CD‬ﻣﺣﻣﻲ ﺿد اﻟﻛﺗﺎﺑﺔ(‬
‫‪ -‬ﺑدا اﺳﺗﺧدام أواﻣر ‪ DOS‬ﻣﺛل ‪ FDISK‬ﻹﺻﻼح اﻟﻔﯾروس‪.‬‬
‫‪ -‬اﺳﺗﺧدام ﺑراﻣﺞ اﻟﺣﻣﺎﯾﺔ ﻣن اﻟﻔﯾروﺳﺎت‪.‬‬

‫‪578‬‬
‫‪ -‬ﻓﯾروس اﻟﻧﻔﻖ )‪(Tunneling viruses‬‬

‫ھذه اﻟﻔﯾروﺳﺎت ﺗﺗﺑﻊ ﺧطوات ﺑراﻣﺞ اﻻﻋﺗراض )‪ (Interceptor programs‬اﻟﺗﻲ ﺗرﺻد طﻠﺑﺎت ﻧظﺎم اﻟﺗﺷﻐﯾل ﻟذﻟك ﻓﮭﯾﺎ ﺗﺻل اﻟﻰ ‪BIOS‬‬
‫و‪ DOS‬ﻟﺗﺛﺑﯾت ﻧﻔﺳﮭﺎ‪ .‬ﻟﺗﻧﻔﯾذ ھذا اﻟﻧﺷﺎط‪ ،‬ﻓﺄﻧﮭﺎ ﺗﻧﺷﺄ ﻧﻔﻖ ﺗﺣت ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت‪.‬‬
‫اﻟﻔﯾروس اﻟﻣﺷﻔر )‪(Encryption Viruses‬‬
‫ھذا اﻟﻧوع ﻣن اﻟﻔﯾروس ﯾﺗﻛون ﻣن ﻧﺳﺧﺔ ﻣﺷﻔرة ﻣن اﻟﻔﯾروس ووﺣدة ﻓك اﻟﺗﺷﻔﯾر‪ .‬ﻻ ﺗزال وﺣدة ﻓك‬
‫ﺗﺷﻔﯾر ﺛﺎﺑﺗﺔ‪ ،‬ﻓﻲ ﺣﯾن أﻧﮫ ﯾﺗم اﺳﺗﺧدام ﻣﻔﺎﺗﯾﺢ ﻣﺧﺗﻠﻔﺔ ﻟﻠﺗﺷﻔﯾر‪ .‬ھذه اﻟﻔﯾروﺳﺎت ﺗﺳﺗﺧدم ﻋﻣوﻣﺎ‬
‫‪ XOR‬ﻋﻠﻰ ﻛل ﺑﺎﯾت ﻣﻊ ﻣﻔﺗﺎح ﻋﺷواﺋﻲ‪.‬‬
‫ﯾﺗم ﺗﺷﻔﯾر اﻟﻔﯾروس ﻣﻊ ﻣﻔﺗﺎح ﺗﺷﻔﯾر واﻟذي ﯾﺗﻛون ﻣن وﺣدة ﻓك اﻟﺗﺷﻔﯾر وﻧﺳﺧﺔ ﻣﺷﻔرة ﻣن‬ ‫‪-‬‬
‫اﻟﺗﻌﻠﯾﻣﺎت اﻟﺑرﻣﺟﯾﺔ‪.‬‬
‫ﻟﻛل ﻣﻠف ﻣﺻﺎب‪ ،‬ﯾﺗم ﺗﺷﻔﯾر اﻟﻔﯾروس ﺑﺎﺳﺗﺧدام ﻣﺟﻣوﻋﺔ ﻣﺧﺗﻠﻔﺔ ﻣن اﻟﻣﻔﺎﺗﯾﺢ‪ ،‬وﻟﻛن ﯾﺑﻘﻰ‬ ‫‪-‬‬
‫ﺟزء وﺣدة ﻓك اﻟﺗﺷﻔﯾر دون ﺗﻐﯾﯾر‪.‬‬
‫أﻧﮫ ﻣن اﻟﻣﺳﺗﺣﯾل ﻟﺗطﺑﯾﻘﺎت ﻓﺣص اﻟﻔﯾروﺳﺎت اﻟﻛﺷف ﻋن اﻟﻔﯾروس ﻣﺑﺎﺷرة ﻋن طرﯾﻖ‬ ‫‪-‬‬
‫اﻟﺗوﻗﯾﻌﺎت‪ ،‬وﻟﻛن ﯾﻣﻛن أن ﯾﺗم اﻟﻛﺷف ﻋن وﺣدة ﻓك اﻟﺗﺷﻔﯾر‪.‬‬
‫ﺗﻘﻧﯾﺔ اﻟﺗﺷﻔﯾر اﻟﻣﺳﺗﺧدﻣﺔ ھﻲ ﻋﺑﺎره ﻋن ﺗﺿﻣﯾن ‪ x‬أو ﻛل ﺑﺎﯾت ﻣﻊ ﻣﻔﺗﺎح ﻋﺷواﺋﻲ اﻟﺗﻲ ﯾﺗم‬ ‫‪-‬‬
‫إﻧﺷﺎؤھﺎ وﺣﻔظﮭﺎ ﺑواﺳطﺔ ‪.virus root‬‬
‫ﻓﯾروس ﻣﺗﻌدد اﻻﺷﻛﺎل )‪(Polymorphic Viruses‬‬
‫اﻟﻔﯾروﺳﺎت ﻣﺗﻌددة اﻷﺷﻛﺎل ﺗﻘوم ﺑﺗﻌدﯾل اﻷﻛواد اﻟﺧﺎﺻﺔ ﺑﮭﺎ ﻟﻛل ﻧﺳﺧﮫ ﻣﺗﻣﺎﺛﻠﮫ ﻣن أﺟل ﺗﺟﻧب اﻟﻛﺷف‪ .‬أﻧﮭﺎ ﺗﻧﺟز ھذا ﻋن طرﯾﻖ ﺗﻐﯾﯾر وﺣدة‬
‫اﻟﺗﺷﻔﯾر وﺗﺳﻠﺳل اﻟﺗﻌﻠﯾﻣﺎت‪ .‬ﯾﺗم اﺳﺗﺧدام ﻣوﻟد رﻗم ﻋﺷواﺋﻲ ﻟﺗﻧﻔﯾذ ﺗﻌدد اﻷﺷﻛﺎل‪.‬‬
‫ﻋﻣوﻣﺎ ﯾﺳﺗﺧدم ﻣﺣرك اﻟطﻔرة )‪ (mutation engine‬ﻟﺗﻣﻛﯾن اﻛواد ﻣﺗﻌدد اﻷﺷﻛﺎل‪ Mutator .‬ﯾوﻓر ﺳﻠﺳﻠﺔ ﻣن اﻟﺗﻌﻠﯾﻣﺎت اﻟﺗﻲ ﯾﻣﻛن‬
‫اﺳﺗﺧداﻣﮭﺎ ﻣن ﻗﺑل ﻓﺎﺣص اﻟﻔﯾروﺳﺎت ﻟﺗﺣﺳﯾن ﺧوارزﻣﯾﺔ اﻟﻛﺷف اﻟﻣﻧﺎﺳﺑﺔ‪ .‬وﺗﺳﺗﺧدم اﻛواد ﻣﺗﻌددة اﻷﺷﻛﺎل اﻟﺑطﯾﺋﺔ ﻟﻣﻧﻊ ﻣﻛﺎﻓﺣﻲ اﻟﻔﯾروﺳﺎت‬
‫اﻟﻣﺣﺗرﻓﯾن ﻣن اﻟوﺻول إﻟﻰ اﻷﻛواد‪.‬‬
‫ﻋﯾﻧﺎت اﻟﻔﯾروس)‪ ، (virus sample‬ھﻲ ﻣﻠﻔﺎت طﻌم )ﺗﺳﺗﺧدم ﻻﺻطﯾﺎد اﻛواد اﻟﻔﯾروس( ﺑﻌد إﺻﺎﺑﺔ ﻣﻠف ﺗﻧﻔﯾذي واﺣد واﺣدة‪ ،‬وﺗﺣﺗوي ﻋﻠﻰ‬
‫ﻧﺳﺧﺔ ﻣﻣﺎﺛﻠﺔ ﻟﻠﻔﯾروس‪ .‬وﯾﺳﺗﺧدم ﻓﺎﺣص ﺳﻼﻣﺔ ﺑﺳﯾط )‪ (simple integrity checker‬ﻟﻠﻛﺷف ﻋن وﺟود اﻟﻔﯾروس ﻣﺗﻌدد اﻷﺷﻛﺎل ﻓﻲ‬
‫ﻗرص اﻟﻧظﺎم‪.‬‬

‫‪579‬‬
‫اﻟﻔﯾروﺳﺎت ﻣﺗﻌددة اﻷﺷﻛﺎل )‪ (Polymorphic viruses‬ﺗﺗﻛون ﻣن ﺛﻼﺛﺔ ﻋﻧﺎﺻر‪ .‬وھﻲ اﻛواد اﻟﻔﯾروس اﻟﻣﺷﻔر‪ ،‬روﺗﯾن ﻓك اﻟﺗﺷﻔﯾر‪،‬‬
‫وﻣﺣرك اﻟطﻔرة)‪ . (mutant engine‬وظﯾﻔﺔ روﺗﯾن ﻓك اﻟﺗﺷﻔﯾر)‪ (decryptor routine‬ھو ﻓك ﺷﻔرة اﻟﻔﯾروس‪ .‬ﺣﯾث أﻧﮫ ﯾﻔك اﻟﺷﻔرة ﻓﻘط‬
‫ﺑﻌد اﻟﺳﯾطرة ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر‪ .‬ﻣﺣرك اﻟطﻔرة )‪ (mutant engine‬ﯾوﻟد روﺗﯾن ﻓك اﻟﺗﺷﻔﯾر )‪ (decryptor routine‬ﻋﺷواﺋﯾﺎ‪ .‬روﺗﯾن‬
‫ﻓك اﻟﺗﺷﻔﯾر )‪ (decryptor routine‬ﯾﺧﺗﻠف ﻓﻲ ﻛل ﻣرة ﻋﻧدﻣﺎ ﯾﺗم إﺻﺎﺑﺔ ﺑرﻧﺎﻣﺞ ﺟدﯾد ﺑواﺳطﺔ اﻟﻔﯾروس‪.‬‬
‫ﻣﻊ ﻓﯾروس ﻣﺗﻌدد اﻷﺷﻛﺎل‪ ،‬ﯾﺗم ﺗﺷﻔﯾر ﻛل ﻣن ﻣﺣرك اﻟطﻔرة وأﻛواد اﻟﻔﯾروس‪ .‬ﻋﻧدﻣﺎ ﯾﺗم ﺗﺷﻐﯾل ﺑرﻧﺎﻣﺞ ﻣﺻﺎب ﺑﺎﻟﻔﯾروس ﻣﺗﻌددة اﻷﺷﻛﺎل ﻣن‬
‫ﻗﺑل اﻟﻣﺳﺗﺧدم‪ ،‬ﻓﺎن روﺗﯾن ﻓك اﻟﺗﺷﻔﯾر)‪ (decryptor routine‬ﯾﺄﺧذ اﻟﺳﯾطرة اﻟﻛﺎﻣﻠﺔ ﻋﻠﻰ اﻟﻧظﺎم‪ ،‬وﺑﻌد ذﻟك ﯾﻔك ﺷﻔرة اﻟﻔﯾروس وﻣﺣرك‬
‫اﻟطﻔرة‪ .‬ﺛم ﺑﻌد ذﻟك‪ ،‬ﯾﺗم ﻧﻘل اﻟﺳﯾطرة ﻋﻠﻰ اﻟﻧظﺎم اﻟﺧﺎص ﺑك ﻋن طرﯾﻖ روﺗﯾن ﻓك اﻟﺗﺷﻔﯾر)‪ (decryptor routine‬اﻟﻰ اﻟﻔﯾروس‪ ،‬واﻟذي‬
‫ﯾذھب اﻟﻰ ﺑرﻧﺎﻣﺞ ﺟدﯾد ﻟﻧﻘل اﻟﻌدوى‪ .‬ﻓﻲ ذاﻛرة اﻟوﺻول اﻟﻌﺷواﺋﻲ )‪ ،(RAM‬ﯾﻘوم اﻟﻔﯾروس ﺑﻧﺳﺦ ﻧﺳﺧﺔ طﺑﻖ اﻷﺻل ﻣﻧﮫ وﻛذﻟك ﻣﺣرك‬
‫اﻟطﻔرة‪ .‬ﺛم ﺑﻌد ذﻟك ﯾرﺷد اﻟﻔﯾروس ﻣﺣرك اﻟطﻔرة اﻟﻣﺷﻔر ﻟﺗوﻟﯾد روﺗﯾن ﻓك اﻟﺗﺷﻔﯾر اﻟﺟدﯾد ﻋﺷواﺋﯾﺎ‪ ،‬اﻟﺗﻲ ﻟدﯾﮭﺎ اﻟﻘدرة ﻋﻠﻰ ﻓك ﺗﺷﻔﯾر‬
‫اﻟﻔﯾروس‪ .‬ھﻧﺎ‪ ،‬ﯾﺗم ﺗﺷﻔﯾر ﻧﺳﺧﺔ ﺟدﯾدة ﻣن ﻛل ﻣن اﻛواد اﻟﻔﯾروس وﻣﺣرك اﻟطﻔرة ﻣن اﻟﻔﯾروس‪ .‬وﺑﺎﻟﺗﺎﻟﻲ‪ ،‬ﻓﺈن ھذا اﻟﻔﯾروس‪ ،‬ﯾﻛون ﺑﺟﺎﻧب‬
‫اﻛواد اﻟﻔﯾروس اﻟﺗﻲ ﺗم ﺗﺷﻔﯾرھﺎ ﺣدﯾﺛﺎ وﻛذﻟك ﻣﺣرك اﻟطﻔرة)‪ (EME‬اﻟﻣﺷﻔر اﻟﺟدﯾد‪ ،‬ﺛم ﯾﻠﺣﻖ روﺗﯾن ﻓك اﻟﺗﺷﻔﯾر اﻟﺟدﯾد ھذا ﻋﻠﻰ ﺑرﻧﺎﻣﺞ‬
‫ﺟدﯾد‪ ،‬وﺑﺎﻟﺗﺎﻟﻲ ﺗﺳﺗﻣر ھذه اﻟﻌﻣﻠﯾﺔ‪.‬‬
‫اﻟﻔﯾروﺳﺎت ﻣﺗﻌددة اﻷﺷﻛﺎل اﻟﺗﻲ أﻋدت ﻣن ﻗﺑل اﻟﻣﮭﺎﺟم ﻟﺗﻧﺗﺷر ﻓﻲ اﻟﻧظم اﻟﻣﺳﺗﮭدﻓﺔ ﯾﺻﻌب ﻛﺷﻔﮭﺎ ﻷﻧﮫ ھﻧﺎ ﯾﺗم ﺗﺷﻔﯾر ﺟﺳم اﻟﻔﯾروﺳﺎت‬
‫وإﺟراءات ﻓك اﻟﺗﺷﻔﯾر ﯾﺗﻐﯾر ﻓﻲ ﻛل ﻣرة ﻣن اﻹﺻﺎﺑﺔ ﻟﻺﺻﺎﺑﺔ وإﺻﺎﺑﺔ ﺷﺧﺻﯾن ﻻ ﺗﺑدو ھﻲ ﻧﻔﺳﮭﺎ؛ ھذا ﯾﺟﻌل ﻣن اﻟﺻﻌب ﻋﻠﻰ ﻣﻛﺎﻓﺢ‬
‫اﻟﻔﯾروﺳﺎت ﺗﺣدﯾد ھذا اﻟﻔﯾروس‪.‬‬
‫اﻟﻔﯾروﺳﺎت اﻟﻣﺗﺣوﻟﺔ )‪:(Metamorphic Viruses‬‬
‫ﺑﻌض اﻟﻔﯾروﺳﺎت ﺗﻌﯾد ﻛﺗﺎﺑﺔ أﻧﻔﺳﮭم ﻟﺗﺻﯾب ﻣﻠﻔﺎت ﺗﻧﻔﯾذﯾﮫ ﺟدﯾده‪ .‬ﻣﺛل ھذه اﻟﻔﯾروﺳﺎت ﺗﻛون ﻣﻌﻘدة وﺗﺳﺗﺧدم اﻟﻣﺣرﻛﺎت اﻟﻣﺗﺣوﻟﺔ‬
‫)‪ (metamorphic engines‬ﻟﻠﺗﻧﻔﯾذ‪.‬‬
‫ﯾطﻠﻖ ﻋﻠﻰ اﻷﻛواد اﻟﺗﻲ ﯾﻣﻛن إﻋﺎدة ﺑرﻣﺟﺔ ﻧﻔﺳﮫ اﻷﻛواد اﻟﻣﺗﺣوﻟﺔ)‪ . (metamorphic code‬وﯾﺗرﺟم ھذا اﻟﻛود إﻟﻰ ﻛود ﻣؤﻗت‪ ،‬وﻣن ﺛم‬
‫ﺗﺣوﯾﻠﮫ ﻣرة اﺧرى إﻟﻰ ﻛود اﻟﻌﺎدي‪ .‬ھذه اﻟﺗﻘﻧﯾﺔ‪ ،‬ﺗﻛون اﻟﺧوارزﻣﯾﺔ اﻷﺻﻠﯾﺔ ﻓﯾﮭﺎ ﻻ ﺗزال ﺳﻠﯾﻣﺔ‪ ،‬ﺣﯾث ﯾﺳﺗﺧدم ھذا ﻟﺗﺟﻧب اﻟﺗﻌرف ﻋﻠﻰ اﻟﻧﻣط‬
‫ﻣن ﻗﺑل ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت‪ .‬ھذا أﻛﺛر ﻓﻌﺎﻟﯾﺔ ﻓﻲ اﻟﻣﻘﺎرﻧﺔ ﺑﺎﻻﻛواد ﻣﺗﻌدد اﻷﺷﻛﺎل‪ .‬ھذا اﻟﻧوع ﻣن اﻟﻔﯾروﺳﺎت ﺗﺗﻛون ﻣن ﻣﺟﻣوﻋﮫ ﻣن‬
‫اﻷﻛواد اﻟﻣﻌﻘدة‪.‬‬
‫اﻟﻔﯾروﺳﺎت اﻟﻣﺗﺣوﻟﺔ اﻟﻣﻌروﻓﺔ ھﻲ‪:‬‬
‫‪:Win32/Simile‬‬
‫ھذا اﻟﻔﯾروس ﻣﻛﺗوب ﺑﻠﻐﺔ اﻟﺗﺟﻣﯾﻊ )‪ (assembly language‬ﺣواﻟﻲ ‪ 14000‬ﺳطر وﺗم ﺗﺻﻣﯾﻣﮫ ﻣن أﺟل أﻧظﻣﺔ اﻟﺗﺷﻐﯾل ﻣﺎﯾﻛروﺳوﻓت‬
‫وﯾﻧدوز‪ .‬ھذه اﻟﻌﻣﻠﯾﺔ ﻣﻌﻘدة‪ ،‬وﯾﺗم إﻧﺷﺎء ﻣﺎ ﯾﻘرب ﻣن ‪ ٪90‬ﻣن اﻛواد اﻟﻔﯾروس ﻋن طرﯾﻖ ھذه اﻟﻌﻣﻠﯾﺔ )أي ان ‪ %90‬ﻣن اﻟﻔﯾروس ﻋﺑﺎره ﻋن‬
‫اﻛواد ﻣﺗﺣوﻟﮫ )‪.((metamorphic codes‬‬

‫‪580‬‬
‫‪:Zmist‬‬
‫ھذا اﻟﻔﯾروس ﻣﻌروف أﯾﺿﺎ ﺑﺎﺳم ‪ Z0mbie.Mistfall‬اﻟﺗﻲ أﻧﺷﺎﺋﮭﺎ ﻛﺎﺗب اﻟﻔﯾروس اﻟروﺳﻲ اﻟﻣﻌروف ﺑﺎﺳم ‪ .Z0mbie‬وھو أول ﻓﯾروس‬
‫اﺳﺗﺧدم ﺗﻘﻧﯾﺔ ﺗﺳﻣﻰ "‪ ."code integration‬ھذا اﻟﻛود ﯾدرج ﻧﻔﺳﮫ ﻓﻲ اﻷﻛواد اﻷﺧرى‪ ،‬ﯾﻌﯾد إﻧﺷﺎء اﻷﻛواد‪ ،‬ﺛم ﯾﻌﯾد ﺑﻧﺎء اﻟﻣﻠف اﻟﻘﺎﺑل ﻟﻠﺗﻧﻔﯾذ‪.‬‬
‫‪File Overwriting or Cavity Viruses‬‬
‫ھذه اﻟﻔﯾروﺳﺎت ﺗﻌرف أﯾﺿﺎ ﺑﺎﺳم ‪ space-fillers‬ﻷﻧﮭﺎ ﺗﺣﺎﻓظ ﻋﻠﻰ ﺛﺎﺑت ﺣﺟم اﻟﻣﻠف ﻋﻧدﻣﺎ ﯾﺗم إﺻﺎﺑﺗﮫ ﻋن طرﯾﻖ ﺗﺛﺑﯾت ﻧﻔﺳﮫ ﻓﻲ اﻟﺑرﻧﺎﻣﺞ‬
‫اﻟﮭدف‪ .‬ھم ﯾﻘوﻣون ﺑﺈﻟﺣﺎق أﻧﻔﺳﮭم إﻟﻰ ﻧﮭﺎﯾﺔ اﻟﻣﻠﻔﺎت وأﯾﺿﺎ إﻓﺳﺎد ﺑداﯾﺔ اﻟﻣﻠﻔﺎت‪ .‬ھذا اﻟﺣدث ﯾﻘوم أوﻻ ﺑﺗﻧﺷﯾط وﺗﻧﻔﯾذ اﻟﺗﻌﻠﯾﻣﺎت اﻟﺑرﻣﺟﯾﺔ‬
‫اﻟﺧﺎﺻﺔ ﺑﺎﻟﻔﯾروس‪ ،‬وﺑﻌدھﺎ اﻟﺑرﻧﺎﻣﺞ اﻷﺻﻠﻲ‪.‬‬
‫ﺑﻌض ﻣﻠﻔﺎت اﻟﺑراﻣﺞ ﻟدﯾﮭﺎ ﻣﻧﺎطﻖ ﻣن اﻟﻣﺳﺎﺣﺔ اﻟﻔﺎرﻏﺔ‪ .‬ھذا اﻟﻔﺿﺎء اﻟﻔﺎرغ ھو اﻟﮭدف اﻟرﺋﯾﺳﻲ ﻣن ھذه اﻟﻔﯾروﺳﺎت‪ .‬ﻓﯾروس اﻟﺗﺟوﯾف‪،‬‬
‫واﻟﻣﻌروف أﯾﺿﺎ ﺑﺎﺳم ﻓﯾروس ‪ ،space-fillers‬ﯾﺧزن اﻷﻛواد اﻟﺧﺎﺻﺔ ﺑﮫ ﻓﻲ ھذا اﻟﻔﺿﺎء اﻟﻔﺎرغ‪ .‬اﻟﻔﯾروس ﯾﻘوم ﺑﺗﺛﺑﯾت ﻧﻔﺳﮫ ﻓﻲ ھذا‬
‫اﻟﻔﺿﺎء اﻟﻐﯾر ﻣﺄھول دون أي ﺗدﻣﯾر ﻟﻠﻛود اﻷﺻﻠﻲ‪ .‬ﻷﻧﮫ ﯾﺛﺑت ﻧﻔﺳﮫ ﻓﻲ ﻣﻠف ﯾﺣﺎول إﺻﺎﺑﺗﮫ‪.‬‬
‫ﻧﺎدرا ﻣﺎ ﯾﺳﺗﺧدم ھذا اﻟﻧوع ﻣن اﻟﻔﯾروﺳﺎت ﻷﻧﮫ ﻣن اﻟﺻﻌب أن ﯾﻛﺗب‪ .‬ﻣﻠف وﯾﻧدوز ﺟدﯾد ﯾﺳﻣﻰ ‪ Portable Executable‬إﻧﮭﺎ ﻣﺻﻣﻣﺔ‬
‫ﻟﻠﺗﺣﻣﯾل اﻟﺳرﯾﻊ ﻟﻠﺑراﻣﺞ‪ .‬وﻣﻊ ذﻟك‪ ،‬ﻓﺈﻧﮫ ﯾﺗرك ﻓﺟوة ﻣﻌﯾﻧﺔ ﻓﻲ اﻟﻣﻠف ﺑﯾﻧﻣﺎ ﯾﺗم ﺗﻧﻔﯾذه واﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻣن ﻗﺑل ﻓﯾروﺳﺎت ‪Space Filler‬‬
‫ﻹدراج ﻧﻔﺳﮭﺎ‪ .‬ﻋﺎﺋﻠﺔ اﻟﻔﯾروس اﻷﻛﺛر ﺷﻌﺑﯾﺔ ھﻲ ﻓﯾروس ‪.CIH‬‬
‫‪Sparse Infector Viruses‬‬
‫‪ Sparse infector virus’s‬ھو ﻧوع ﻣن اﻟﻔﯾروﺳﺎت ﻻ ﯾﻌﻣل إﻻ ﻋﻧد ﺷرط ﻣﻌﯾن وﯾﺑﻘﻰ اﻟـ ‪ sparse infector‬ﻣﺧﻔﯾﺎ ً داﺧل اﻟﻧظﺎم وﻻ‬
‫ﯾﺷﻌر ﺑﮫ اﻟﻣﺳﺗﺧدم إﻻ ﻋﻧد ﺷرط ﻣﺣدد ﺑﺷﻛل رﻗﻣﻲ ﻛﺗﺎرﯾﺦ ﻣﻌﯾن أو ﻛﺗﺷﻐﯾل ﺑرﻧﺎﻣﺞ ﻣﺎ ﻋد ٍد ﻣن اﻟﻣرات‪ .‬ﻋن طرﯾﻖ اﻹﺻﺎﺑﺔ اﻷﻗل‪ ،‬ﻓﻲ‬
‫ﻣﺣﺎوﻟﺔ ﻣن ﻗﺑل ھذه اﻟﻔﯾروﺳﺎت ﻟﺗﻘﻠﯾل اﺣﺗﻣﺎل أن ﯾﺗم اﻛﺗﺷﺎﻓﮭﺎ‪.‬‬

‫‪581‬‬
‫‪Companion/Camouflage Viruses‬‬
‫‪ Companion virus‬ﯾﺧزن ﻧﻔﺳﮫ ﻣن ﺧﻼل اﻣﺗﻼك اﺳم اﻟﻣﻠف ﻣﺗطﺎﺑﻘﺔ ﻛﻣﺎ ﻓﻲ ﻣﻠف اﻟﺑرﻧﺎﻣﺞ اﻟﻣﺳﺗﮭدف‪ .‬ﺣﺎﻟﻣﺎ ﯾﺗم ﺗﻧﻔﯾذ ھذا اﻟﻣﻠف‪ ،‬ﻓﺈن‬
‫اﻟﻔﯾروس ﯾﺻﯾب ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر‪ ،‬وﯾﺗم ﺗﻌدﯾل اﻟﺑﯾﺎﻧﺎت ﻋﻠﻰ اﻟﻘرص اﻟﺻﻠب‪.‬‬
‫‪ Companion virus‬ﯾﺳﺗﺧدم ‪ DOS‬اﻟﺗﻲ ﺗﻧﻔذ اﻟﻣﻠﻔﺎت ‪ COM‬ﻗﺑل أن ﯾﺗم ﺗﻧﻔﯾذ اﻟﻣﻠﻔﺎت ‪ .EXE‬اﻟﻔﯾروس ﯾﻘوم ﺑﺗﺛﺑﯾت ﻣﻠف ‪COM‬‬
‫ﻣﺗطﺎﺑﻘﺔ وﯾﺻﯾب ﻣﻠﻔﺎت ‪.EXE‬‬
‫اﻟﻣﺻدر‪http://www.cknow.com/cms/vtutor/companion-files.html :‬‬
‫ھل ﺗﻌﺗﻘد أن اﻟﻔﯾروس ﯾﻣﻛﻧﮫ أن ﯾﺻﯾب اﻟﻣﻠﻔﺎت اﻟﺧﺎﺻﺔ ﺑك دون ﺗﻐﯾﯾر ﺑﺎﯾت واﺣد ﻓﻲ اﻟﻣﻠف اﻟﻣﺻﺎب؟ ﺣﺳﻧﺎ‪ ،‬ھذا ﺻﺣﯾﺢ؛ ﺑطرﯾﻘﺗﯾن‬
‫ﻣﺧﺗﻠﻔﺗﯾن ﻓﻲ اﻟواﻗﻊ! وﺗﺳﻣﻰ اﻟطرﯾﻘﺔ اﻷﻛﺛر ﺷﯾوﻋﺎ ﻣن اﻟطرﯾﻘﺗﯾن ‪ companion virus‬أو ‪) spawning virus‬اﻵﺧر ھو اﻟﻔﯾروس‬
‫اﻟﻌﻧﻘودي)‪ .( (cluster virus‬اﻟﻔﯾروس ﯾﺻﯾب ﻣﻠﻔﺎﺗك ﻋن طرﯾﻖ ﺗﺣدﯾد ﻣوﻗﻊ ﻛل اﻟﻣﻠﻔﺎت اﻟﺗﻲ ﺗﻧﺗﮭﻲ أﺳﻣﺎؤھﺎ ب‪ . EXE‬ﺛم ﯾﻘوم اﻟﻔﯾروس‬
‫ﺑﺈﻧﺷﺎء اﺳﻣﺎء ﻣﻠﻔﺎت ﻣطﺎﺑﻘﺔ ﺗﻧﺗﮭﻲ ﺒ ‪ COM‬اﻟذي ﯾﺣﺗوي ﻋﻠﻰ اﻛواد اﻟﻔﯾروس‪.‬‬
‫ھذا ﻣﺎ ﯾﺣدث‪ :‬دﻋوﻧﺎ ﻧﻘول إن ‪ companion virus‬ﺗﻧﻔذ ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك‪ ،‬وﺗﻘرر ان اﻟوﻗت ﻗد ﺣﺎن ﻟﺗﺻﯾب اﻟﻣﻠﻔﺎت‪ .‬ﻓﺈﻧﮫ‬
‫ﯾﻧظر ﺣوﻟﮫ وﯾﺑﺣث ﻟﻠﻌﺛور ﻋﻠﻰ ﻣﻠف ﯾﺳﻣﻰ ‪ .PGM.EXE‬ﻋﻠﯾﮫ اﻵن إﻧﺷﺎء ﻣﻠف ﯾﺳﻣﻰ ‪ PGM.COM‬اﻟﺗﻲ ﺗﺣﺗوي ﻋﻠﻰ اﻟﻔﯾروس‪.‬‬
‫اﻟﻔﯾروس ﻋﺎدة ﻣﺎ ﯾزرع ھذا اﻟﻣﻠف ﻓﻲ ﻧﻔس ﻣﺳﺎر ﻣﻠف ‪ .EXE‬وﻟﻛن ﯾﺟب وﺿﻌﮫ ﻓﻲ أي دﻟﯾل ﻋﻠﻰ ﻣﺳﺎر ‪ DOS‬اﻟﺧﺎص ﺑك‪ .‬ﺣﯾث إذا ﻗﻣت‬
‫ﺑﻛﺗﺎﺑﺔ ‪ PGM‬ﺛم ﻧﻘرت ﻓوق ‪ ،Enter‬ﻓﺎن ‪ DOS‬ﺳوف ﯾﻘوم ﺑﺗﻧﻔﯾذ ‪ PGM.COM‬ﺑدﻻ ﻣن ‪) .PGM.EXE‬ﺣﯾث ان اﻟﻧظﺎم اﻟﻣﺗﺑﻊ ﻣن‬
‫ﻗﺑل ‪ ،DOS‬اﻧﮫ ﯾﻘوم أوﻻ ﺑﺗﻧﻔﯾذ ‪ ،COM‬ﺛم ‪ ،EXE‬ﺛم ﻣﻠﻔﺎت ‪ BAT‬اﻟذي ﯾﺣﻣل ﻧﻔس اﻻﺳم اﻟﺟذر‪ ،‬إذا ﻛﺎﻧت ﻛﻠﮭﺎ ﻓﻲ ﻧﻔس اﻟدﻟﯾل(‪ .‬ﯾﻧﻔذ‬
‫اﻟﻔﯾروس‪ ،‬ورﺑﻣﺎ ﯾﺻﯾب اﻟﻛﺛﯾر ﻣن اﻟﻣﻠﻔﺎت ﺛم ﯾﻘوم ﺑﺗﺣﻣﯾل وﺗﻧﻔﯾذ ‪ .PGM.EXE‬اﻟﻣﺳﺗﺧدم رﺑﻣﺎ ﻟن ﯾﻼﺣظ أي ﺷﻲء ﺧﺎطﺊ‪.‬‬
‫إﻧﮫ ﻣن اﻟﺳﮭل اﻟﻛﺷف ﻋن اﻟﻔﯾروس ‪ companion virus‬وذﻟك ﻓﻘط ﻣن ﺧﻼل ﻣﻼﺣظﺔ وﺟود ﻣﻠف ‪ COM‬إﺿﺎﻓﯾﺔ ﻋﻠﻰ اﻟﻧظﺎم‪.‬‬
‫‪Shell Viruses‬‬
‫اﻛواد ﻓﯾروس اﻟﺷل )‪ (shell virus‬ﺗﺷﻛل طﺑﻘﺔ ﺣول ﻛود اﻟﺑرﻧﺎﻣﺞ اﻟﻣﺿﯾف اﻟﮭدف اﻟﺗﻲ ﯾﻣﻛن ﻣﻘﺎرﻧﺗﮭﺎ ﺒ "ﻗﺷرة اﻟﺑﯾﺿﺔ"‪ ،‬ﻣﻣﺎ ﯾﺟﻌل ﻣن‬
‫ﻧﻔﺳﮫ اﻟﺑرﻧﺎﻣﺞ اﻷﺻﻠﻲ وﻛود اﻟﻣﺿﯾف ﻋﺑﺎره ﻋن اﻣر ﻓرﻋﻰ‪ .‬ھﻧﺎ‪ ،‬ﯾﺗم ﻧﻘل اﻷﻛواد اﻷﺻﻠﯾﺔ إﻟﻰ ﻣوﻗﻊ ﺟدﯾد ﺑواﺳطﺔ ﻛود اﻟﻔﯾروس واﻟﻔﯾروس‬
‫ﯾﻘﺗرض ھوﯾﺗﮭﺎ‪.‬‬

‫‪582‬‬
‫‪File Extension Viruses‬‬
‫‪ File extension virus‬ﯾﻐﯾر اﻣﺗدادات اﻟﻣﻠﻔﺎت‪.‬‬ ‫‪-‬‬

‫)‪ (.txt‬ھو ﻣﻠف اﻣن ﻷﻧﮭﺎ ﺗﺷﯾر اﻟﻰ ﻣﻠف ﻧﺻﻰ ﻧﻘﻰ‪.‬‬ ‫‪-‬‬
‫ﻣﻊ إﯾﻘﺎف ﺗﺷﻐﯾل ﺧﺎﺻﯾﺔ ‪ ،File name extension‬ﻓﺈذا ﻗﺎم ﺷﺧص ﻣﺎ ﺑﺎرﺳﺎل ﻣﻠف ﻟك اﺳﻣﮫ ‪ ،BAD.TXT.VBS‬ﻓﺈﻧك ﺳوف‬ ‫‪-‬‬
‫ﺗراه ‪ BAD.TXT‬ﻓﻘط‪.‬‬
‫إذا ﻛﻧت ﻗد ﻧﺳﯾت أن ‪ File name extension‬ﻓﻲ ﻗد ﺗم إﯾﻘﺎف ﺗﺷﻐﯾﻠﮭﺎ‪ ،‬ﻓﺈﻧك ﺳوف ﺗﻌﺗﻘد ان ھذا اﻟﻣﻠف ﻣﻠف ﻧﺻﻲ وﺳوف ﺗﻘوم‬ ‫‪-‬‬
‫ﺑﻔﺗﺣﮫ‪.‬‬
‫‪ Visual Basic Script virus‬ھذا ھو ﻣﻠف اﻟﻔﯾروس اﻟﻘﺎﺑل ﻟﻠﺗﻧﻔﯾذ واﻟذي ﯾﻣﻛن اﻟﻘﯾﺎم ﺑﺄﺿرار ﺟﺳﯾﻣﺔ‪.‬‬ ‫‪-‬‬
‫اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة ھو إﻟﻐﺎء ﺧﺎﺻﯾﺔ إﺧﻔﺎء اﻻﻣﺗدادات ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻧدوز‪ .‬ﺣﯾث ﺗﺻﺑﺢ ﻛﺎﻻﺗﻰ ﻛﻣﺎ ھو ﻣوﺿﺢ ﻓﻲ اﻟﺻورة‪.‬‬ ‫‪-‬‬
‫‪Add-on and Intrusive Viruses‬‬
‫‪Add-on Viruses‬‬
‫ﻣﻌظم اﻟﻔﯾروﺳﺎت ھﻲ ‪ .Add-on Viruses‬ھذا اﻟﻧوع ﻣن اﻟﻔﯾروﺳﺎت ﯾُﻠﺣﻖ اﻷﻛواد اﻟﺧﺎﺻﺔ ﺑﮫ إﻟﻰ ﺑداﯾﺔ اﻛواد ﺗطﺑﯾﻖ اﻟﻣﺿﯾف دون إﺟراء‬
‫أﯾﺔ ﺗﻐﯾﯾرات ﻋﻠﻰ ھذه‪ .‬وﺑﺎﻟﺗﺎﻟﻲ‪ ،‬ﻓﺈن اﻟﻔﯾروس ﯾﻔﺳد ﻣﻌﻠوﻣﺎت ﺑدء اﻟﺗﺷﻐﯾل ﻣن اﻛواد اﻟﻣﺿﯾف‪ ،‬وﯾﺿﻊ ﻧﻔﺳﮫ ﻓﻲ ﻣﻛﺎﻧﮭﺎ‪ ،‬وﻟﻛﻧﮭﺎ ﻻ ﺗﻠﻣس اﻛواد‬
‫اﻟﻣﺿﯾف‪ .‬وﻣﻊ ذﻟك‪ ،‬ﯾﺗم ﺗﻧﻔﯾذ اﻛواد اﻟﻔﯾروس ﻗﺑل اﻛواد اﻟﻣﺿﯾف‪ .‬إﺷﺎرة ﻓﻘط اﻟﻰ أن اﻟﻣﻠف ﺗﺎﻟف ھو أن ﺣﺟم اﻟﻣﻠف ﻗد ازداد‪.‬‬
‫‪Intrusive Viruses‬‬
‫اﻟﻔﯾروﺳﺎت اﻟﻣﺗطﻔﻠﺔ )‪ (Intrusive Viruses‬ﺗﻘوم ﺑﺈﻋﺎدة ﻛﺗﺎﺑﺔ اﻷﻛواد اﻟﺧﺎﺻﺔ ﺑﮭﺎ إﻣﺎ ﻋن طرﯾﻖ إزاﻟﺔ اﻛواد اﻟﺑرﻧﺎﻣﺞ اﻟﻣﺿﯾف اﻟﮭدف‬
‫ﺗﻣﺎﻣﺎ أو ﻓﻲ ﺑﻌض اﻷﺣﯾﺎن ﺗﺗم اﻟﻛﺗﺎﺑﺔ ﺳوى ﺟزء ﻣﻧﮫ‪ .‬ﻟذﻟك‪ ،‬ﻻ ﯾﺗم ﺗﻧﻔﯾذ اﻷﻛواد اﻷﺻﻠﯾﺔ ﺑﺷﻛل ﺻﺣﯾﺢ‪.‬‬

‫‪583‬‬
‫‪Transient and Terminate and Stay Resident Viruses‬‬
‫‪Transient Viruses‬‬
‫‪ Transient virus‬ﺗﻘوم ﺑﻧﻘل ﺟﻣﯾﻊ اﻟﺳﯾطرة إﻟﻰ اﻷﻛواد اﻟﻣﺿﯾﻔﺔ اﻟﺗﻲ ﯾﻘﯾﻣون ﻓﯾﮭﺎ‪ ،‬ﺣﯾث ﺗﺣدد اﻟﺑرﻧﺎﻣﺞ اﻟﮭدف ﻟﺗﻌدﯾﻠﮫ‪ ،‬وإﻓﺳﺎده‪.‬‬
‫)‪Terminate and Stay Resident Virus (TSR‬‬
‫ﺗﺑﻘﻰ ﻓﯾروﺳﺎت ‪ TSR‬ﺑﺷﻛل داﺋم ﻓﻲ اﻟذاﻛرة أﺛﻧﺎء دورة اﻟﻌﻣل ﺑﺄﻛﻣﻠﮭﺎ‪ ،‬ﺣﺗﻰ ﺑﻌد ﺗﻧﻔﯾذ اﻟﺑرﻧﺎﻣﺞ اﻟﻣﺿﯾف اﻟﮭدف وإﻧﮭﺎؤھﺎ‪ .‬وﻻ ﯾﻣﻛن إزاﻟﺗﮭﺎ‬
‫إﻻ ﻋن طرﯾﻖ إﻋﺎدة ﺗﺷﻐﯾل اﻟﻧظﺎم‪.‬‬
‫ﻛﺗﺎﺑﺔ ﺑرﻧﺎﻣﺞ ﻓﯾروس ﺑﺳﯾط )‪(Writing a Simple Virus Program‬‬
‫ﻷﻏراض اﻟﻌرض اﻟﺗوﺿﯾﺣﻲ‪ ،‬ھﻧﺎ ﯾظﮭر ﺑرﻧﺎﻣﺞ ﺑﺳﯾط واﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮫ ﻟﻠﺗﺳﺑب ﺑﺎﻟﺿرر ﻟﻠﻧظﺎم اﻟﻣﺳﺗﮭدف‪:‬‬
‫‪ -1‬إﻧﺷﺎء ﻣﻠف ﺑﺎﺗش ‪ Game.bat‬ﻣﻊ اﻟﻧص اﻟﺗﺎﻟﻲ‪:‬‬

‫‪text @ echo off‬‬
‫*‪delete c:\winnt\system32\*.‬‬
‫*‪delete c:\winnt\*.‬‬
‫‪ -2‬ﺛم ﻗم ﺑﺗﺣوﯾل ﻣﻠف اﻟﺑﺎﺗش ‪ Game.bat‬اﻟﻰ ‪ Game.com‬ﺑﺎﺳﺗﺧدام اﻷداة اﻟﻣﺳﺎﻋدة ‪.bat2com‬‬
‫‪ -3‬ﻧﻘوم ﺑﺗﻌﯾﯾن أﯾﻘوﻧﺔ ﻠ ‪ Game.com‬ﺑﺎﺳﺗﺧدام ﺷﺎﺷﺔ ﺧﺻﺎﺋص ﻣﻠف اﻟوﯾﻧدوز )‪.(Windows file properties screen‬‬
‫‪ -4‬ﻧﻘوم ﺑﺈرﺳﺎل اﻟﻣﻠف ‪ Game.com‬ﻛﻣرﻓﻖ ﺑرﯾد إﻟﻛﺗروﻧﻲ إﻟﻰ اﻟﺿﺣﯾﺔ‪.‬‬
‫‪ -5‬ﻋﻧد ﺗﺷﻐﯾل اﻟﺿﺣﯾﺔ ھذا اﻟﺑرﻧﺎﻣﺞ‪ ،‬ﻓﮭذا ﺳوف ﯾﻘوم ﺑﺣذف اﻟﻣﻠﻔﺎت اﻷﺳﺎﺳﯾﺔ ﻓﻲ اﻟﻣﺟﻠد)‪ ،(\WINNT‬ﻣﻣﺎ ﯾﺟﻌل اﻟوﯾﻧدوز ﻏﯾر‬
‫ﺻﺎﻟﺣﺔ ﻟﻼﺳﺗﻌﻣﺎل‪.‬‬
‫ﻣﻣﺎ ﯾﺟﻌل اﻟﺿﺣﯾﺔ ﺗﺿطر إﻟﻰ إﻋﺎدة ﺗﺛﺑﯾت اﻟوﯾﻧدوز‪ ،‬ﻣﻣﺎ ﻗد ﯾﺳﺑب ﻣﺷﺎﻛل ﻟﺣﻔظ اﻟﻣﻠﻔﺎت ﺑﺎﻟﻔﻌل‪.‬‬

‫‪584‬‬
‫‪TeraBIT Virus Maker‬‬
‫‪ TeraBIT‬ﺻﺎﻧﻊ اﻟﻔﯾروﺳﺎت ھو ﻓﯾروس اﻟذى ﯾﺗم اﻟﻛﺷف ﻋﻧﮫ ﻓﻲ اﻟﻐﺎﻟب ﻣن ﻗﺑل ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻋﻧد ﻓﺣﺻﮭﺎ‪ .‬ھذا اﻟﻔﯾروس ﻓﻲ‬
‫اﻟﻐﺎﻟب ﻻ ﯾﺿر ‪ ،PC‬ﻟذﻟك ﯾﻣﻛن ﺗﻌطﯾل ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت اﻟﻣﺛﺑت ﻋﻠﻰ اﻟﻧظﺎم ﻟﻔﺗرة ﻗﺻﯾرة ﺣﺗﻰ ﺗﺳﺗطﯾﻊ اﻟﺗﻌﺎﻣل ﻣﻌﮫ واﺳﺗﺧداﻣﮫ‪.‬‬
‫ھذا اﻟﺑرﻧﺎﻣﺞ ﯾﻘوم ﺑﺻﻧﻊ اﻟﻔﯾروﺳﺎت ﺣﺳب ﻧوع اﻟﻣﮭﻣﺔ اﻟﺗﻲ ﺳوف ﯾﻘوم ﺑﮭﺎ اﻟﻔﯾروس ﻓﻲ ﺟﮭﺎز اﻟﺿﺣﯾﺔ وﻻ ﯾﺣﺗﺎج اﻟﻰ ﺗﺛﺑﯾت ﻓﻲ ﺟﮭﺎز‬
‫اﻟﻛﻣﺑﯾوﺗر‪.‬‬
‫‪JPS Virus Maker and DELmE’s Batch Virus Maker‬‬
‫‪JPS Virus Maker‬‬

‫‪ JPS Virus Maker‬ھﻲ أداة ﻹﻧﺷﺎء اﻟﻔﯾروﺳﺎت‪ .‬ﻛﻣﺎ أن ﻟدﯾﮭﺎ ﻣﯾزة وھﻲ ﺗﺣوﯾل اﻟﻔﯾروس إﻟﻰ دودة‪ ،‬وﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﺗﻌطﯾل اﻷﺟﮭزة‬
‫اﻟﻌﺎدﯾﺔ ﻓﻲ اﻟﻧظﺎم‪.‬‬

‫‪585‬‬
‫ھذا اﻟﺑرﻧﺎﻣﺞ ﯾﻘوم ﺑﺻﻧﻊ اﻟﻔﯾروﺳﺎت ﺣﺳب ﻧوع اﻟﻣﮭﻣﺔ اﻟﺗﻲ ﺳوف ﯾﻘوم ﺑﮭﺎ اﻟﻔﯾروس ﻓﻲ ﺟﮭﺎز اﻟﺿﺣﯾﺔ وﻻ ﯾﺣﺗﺎج اﻟﻰ ﺗﺛﺑﯾت ﻓﻲ ﺟﮭﺎز‬
‫اﻟﻛﻣﺑﯾوﺗر‪ .‬ﻧﺟد أﯾﺿﺎ اﻧﮫ ﯾﺄﺗﻲ ﻣﻌﮫ اﻟﻌدﯾد ﻣن اﻹﻣﻛﺎﻧﯾﺎت‪.‬‬
‫‪ -‬ﻧﺟد ان ﻣﺎ ﯾﻠﻲ اﻟﻧص ‪ virus option‬ھﻲ ﻣﺟﻣوﻋﮫ ﻣن اﻟﺧﯾﺎرات اﻟﺗﻲ ﺗرﯾد ﺗﺿﻣﯾﻧﮭﺎ ﻓﻲ اﻟﻔﯾروس اﻟذي ﺗرﯾد إﻧﺷﺎﺋﮫ‪.‬‬
‫‪ -‬ﻧﺟد ﻓﻲ اﻟﻘﺎﺋﻣﺔ اﻟﺳﻔﻠﯾﺔ ﻣﺟﻣوﻋﮫ ﻣن اﻟﺧﯾﺎرات واﻟﺗﻲ ﺗرﯾد ان ﺗﺧﺑر ﻓﯾﮭﺎ اﻟﻔﯾروس ﻣﺗﻰ ﯾﺑدا ﻧﺷﺎطﮫ‪.‬‬
‫أﯾﺿﺎ اﻟﻘﺎﺋﻣﺔ اﻟﻣﻧﺳدﻟﺔ ﺑﺟﺎﻧب اﻟﻧص ‪ Name After Install‬واﻟﺗﻲ ﻣن ﺧﻼﻟﮭﺎ ﺗﺧﺗﺎر ‪ service‬اﻟﺗﻲ ﺳوف ﯾظﮭر اﻟﻔﯾروس ﻛﺄﻧﮭﺎ‬ ‫‪-‬‬
‫ھﻲ‪.‬‬
‫اﻟﻘﺎﺋﻣﺔ اﻟﻣﻧﺳدﻟﺔ ﺑﺟﺎﻧب اﻟﻧص ‪ Server Name‬ﻧﺧﺗﺎر اﺳم اﻟﺳﯾرﻓر‪.‬‬ ‫‪-‬‬
‫ﻗﺑل اﻟﻧﻘر ﻓوق !‪ Create Virus‬ﻹﻧﺷﺎء اﻟﻔﯾروس ﯾﻣﻛﻧك ﻗﺑﻠﮭﺎ اﻟﻧﻘر ﻓوق >> ﻟﺗﻐﯾر اﻋدادات اﻟﻔﯾروس‪.‬‬ ‫‪-‬‬
‫واﻟﺗﻲ ﻣن ﺧﻼﻟﮭﺎ ﯾﻣﻛﻧك اﻟﻘﯾﺎم ﺑﺎﻟﻌدﯾد ﻣن اﻷﺷﯾﺎء ﻣﺛل ﺗﺣوﯾل اﻟﻔﯾروس اﻟﻰ دوده‪ ،‬ﺗﻐﯾر ﻛﻠﻣﺔ اﻟﻣرور ﻟوﯾﻧدوز ‪ ،xp‬ﺗﻐﯾر اﺳم‬ ‫‪-‬‬
‫اﻟﻛﻣﺑﯾوﺗر‪ ،‬ﺗﻐﯾر ﺻﻔﺣﺔ اﻟﺑداﯾﺔ اﻻﻓﺗراﺿﯾﺔ ﻟﻣﺗﺻﻔﺢ اﻟﻣواﻗﻊ اﻟﺧﺎص ﺑﺎﻟﺿﺣﯾﺔ‪ ،‬ﺗﻐﯾر ﺷﻛل اﯾﻘوﻧﺔ اﻟﻔﯾروس وﻏﯾرھﺎ ﻣن اﻷﺷﯾﺎء‬
‫اﻷﺧرى‪.‬‬
‫ﺑﻌض اﻻﻧﺗﮭﺎء ﻣن وﺿﻊ اﻟﻠﻣﺳﺎت اﻷﺧﯾرة ﻋﻠﯾﮫ ﯾﻣﻛن اﻻن اﻟﻧﻘر ﻓوق !‪ Create Virus‬ﻹﻧﺷﺎء اﻟﻔﯾروس‪.‬‬ ‫‪-‬‬
‫ﻋﻧد اﻧﺗﮭﺎء اﻟﺗطﺑﯾﻖ ﻣن ﺻﻧﻊ اﻟﻔﯾروس ﻓﺳوف ﺗظﮭر اﻟرﺳﺎﻟﺔ اﻟﺗﺎﻟﯾﺔ ﺗﺧﺑرك ﺑذﻟك‪.‬‬ ‫‪-‬‬

‫‪586‬‬
‫‪DELmE's Batch Virus Maker‬‬
‫‪ DELmE's Batch Virus Maker‬ھو أداة ﺑﺳﯾطﺔ اﻟﺗﻲ ﺗﺳﻣﺢ ﻟك ﺑﺈﻧﺷﺎء ‪ bat file virus‬ﻣن اﺧﺗﯾﺎرك ﻟﺗﺗﻧﺎﺳب ﻣﻊ اﻟﻣﮭﺎم اﻟﺧﺎﺻﺔ ﺑك‪.‬‬
‫‪Computer Worms 7.3‬‬
‫ﻗﺑل ھذا‪ ،‬ﻛﻧﺎ ﻗد ﻧﺎﻗﺷﻧﺎ أﻧواع اﻟﻔﯾروﺳﺎت اﻟﻣﺧﺗﻠﻔﺔ‪ .‬اﻵن ﺳوف ﻧﻧﺎﻗش دﯾدان اﻟﻛﻣﺑﯾوﺗر‪ ،‬وﻛﯾف أﻧﮭﺎ ﺗﺧﺗﻠف ﻋن اﻟﻔﯾروﺳﺎت‪ .‬ﯾﺻف ھذا اﻟﻘﺳم‬
‫اﻟدﯾدان‪ ،‬وﺗﺣﻠﯾل اﻟدودة )‪ ،(Stuxnet‬وأﻟﯾﺔ ﺻﻧﻊ اﻟدودة )‪.(Internet Worm Maker Thing‬‬
‫دﯾدان اﻟﻛﻣﺑﯾوﺗر )‪(Computer Worms‬‬

‫دﯾدان اﻟﻛﻣﺑﯾوﺗر )‪ (Computer worms‬ھﻲ ﺑراﻣﺞ ﺻﻐﯾرة ﻗﺎﺋﻣﺔ ﺑذاﺗﮭﺎ ﻏﯾر ﻣﻌﺗﻣدة ﻋﻠﻰ ﻏﯾرھﺎ ﺗﻘوم ﺑﺗﻛرار ﻧﻔﺳﮭﺎ‪ ،‬وﺗﻧﻔﯾذ‪ ،‬وﺗﻧﺗﺷر ﻋﺑر‬
‫ﺷﺑﻛﺔ اﺗﺻﺎﻻت ﻣﺳﺗﻘﻠﺔ‪ ،‬دون ﺗدﺧل اﻹﻧﺳﺎن‪ .‬ﺻﻧﻌت ﻟﻠﻘﯾﺎم ﺑﺄﻋﻣﺎل ﺗدﻣﯾرﯾﺔ أو ﻟﻐرض ﺳرﻗﺔ ﺑﻌض اﻟﺑﯾﺎﻧﺎت اﻟﺧﺎﺻﺔ ﺑﺑﻌض اﻟﻣﺳﺗﺧدﻣﯾن أﺛﻧﺎء‬
‫ﺗﺻﻔﺣﮭم ﻟﻺﻧﺗرﻧت أو إﻟﺣﺎق اﻟﺿرر ﺑﮭم أو ﺑﺎﻟﻣﺗﺻﻠﯾن ﺑﮭم‪ ،‬ﺗﻣﺗﺎز ﺑﺳرﻋﺔ اﻻﻧﺗﺷﺎر وﯾﺻﻌب اﻟﺗﺧﻠص ﻣﻧﮭﺎ ﻧظرا ً ﻟﻘدرﺗﮭﺎ اﻟﻔﺎﺋﻘﺔ ﻋﻠﻰ اﻟﺗﻠون‬
‫واﻟﺗﻧﺎﺳﺦ واﻟﻣراوﻏﺔ‪.‬‬
‫ﺗﺻﯾب اﻟدودة اﻟﺣواﺳﯾب اﻟﻣوﺻوﻟﺔ ﺑﺎﻟﺷﺑﻛﺔ ﺑﺷﻛل اوﺗوﻣﺎﺗﯾﻛﻲ‪ ،‬وﻣن ﻏﯾر ﺗدﺧل اﻹﻧﺳﺎن وھذا اﻻﻣر ﯾﺟﻌﻠﮭﺎ ﺗﻧﺗﺷر ﺑﺷﻛل اوﺳﻊ وأﺳرع ﻋن‬
‫اﻟﻔﯾروﺳﺎت‪ .‬اﻟﻔرق ﺑﯾﻧﮭم ھو أن اﻟدﯾدان ﻻ ﺗﻘوم ﺑﺣذف أو ﺗﻐﯾﯾر اﻟﻣﻠﻔﺎت ﺑل ﺗﻘوم ﺑﺗﮭﻠﯾك ﻣوارد اﻟﺟﮭﺎز واﺳﺗﺧدام اﻟذاﻛرة ﺑﺷﻛل ﻓظﯾﻊ ﻣﻣﺎ ﯾؤدي‬
‫إﻟﻰ ﺑطء ﻣﻠﺣوظ ﺟدًا ﻟﻠﺟﮭﺎز واﻻﺗﺻﺎل ﺑﺎﻟﺷﺑﻛﺔ‪ .‬ﺗﺧﺗﻠف اﻟدﯾدان ﻓﻲ ﻋﻣﻠﮭﺎ ﻣن ﻧوع ﻵﺧر‪ ،‬ﻓﺑﻌﺿﮭﺎ ﯾﻘوم ﺑﺎﻟﺗﻧﺎﺳﺦ داﺧل اﻟﺟﮭﺎز إﻟﻰ أﻋداد‬
‫ھﺎﺋﻠﺔ‪ ،‬ﺑﯾﻧﻣﺎ ﻧﺟد ﺑﻌﺿﮭﺎ ﯾﺗﺧﺻص ﻓﻲ اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﺑﺣﯾث ﺗﻘوم ﺑﺈرﺳﺎل ﻧﻔﺳﮭﺎ ﺑرﺳﺎﺋل إﻟﻰ ﺟﻣﯾﻊ اﻟﻣوﺟودﯾن ﺑدﻓﺗر اﻟﻌﻧﺎوﯾن‪ ،‬ﺑل أن‬
‫اﻟﺑﻌض ﻣﻧﮭﺎ ﯾﻘوم ﺑﺈرﺳﺎل رﺳﺎﺋل ﻗذرة ﻟﻌد ٍد ﻋﺷواﺋﻲ ﻣن اﻟﻣﻘﯾدﯾن ﺑﺳﺟل اﻟﻌﻧﺎوﯾن ﺑﺎﺳم ﻣﺎﻟك اﻟﺑرﯾد ﻣﻣﺎ ﯾوﻗﻌﮫ ﺑﺎﻟﻛﺛﯾر ﻣن اﻟﺣرج‪.‬‬
‫ﺗﻛﻣن ﺧطورة اﻟدﯾدان ﺑﺎﺳﺗﻘﻼﻟﯾﺗﮭﺎ وﻋدم اﻋﺗﻣﺎدھﺎ ﻋﻠﻰ ﺑراﻣﺞ أﺧرى ﺗﻠﺗﺣﻖ ﺑﮭﺎ ﻣﻣﺎ ﯾﻌطﯾﮭﺎ ﺣرﯾﺔ ﻛﺎﻣﻠﺔ ﻓﻲ اﻻﻧﺗﺷﺎر اﻟﺳرﯾﻊ‪ ،‬وﺑﻼ ﺷك أن‬
‫ھﻧﺎك أﻧواﻋﺎ ﻣﻧﮭﺎ ﻏﺎﯾﺔ ﻓﻲ اﻟﺧطورة‪ ،‬ﺣﺗﻰ أﺻﺑﺢ ﺑﻌﺿﮭﺎ ﻛﺎﺑوﺳﺎ ً ﻣرﻋﺑﺎ ً ﯾﻼزم ﻛل ﻣﺳﺗﺧدم ﻟﻠﺷﺑﻛﺔ‪ ،‬ﻛدودة ‪ Tanatos‬اﻟﺷﮭﯾرة اﻟﺗﻲ ظﮭرت‬
‫ﺧﻼل ﺷﮭر أﻛﺗوﺑر ‪2002‬م واﻧﺗﺷرت اﻧﺗﺷﺎر اﻟﻧﺎر ﺑﺎﻟﮭﺷﯾم وﺧﻠﻔت وراﺋﮭﺎ آﺛﺎرا ً ﺗدﻣﯾرﯾﺔ ھﺎﺋﻠﺔ‪ .‬ﺗم اﺳﺗﮭداف اﻟدﯾدان ﺿد ﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻧدوز‪،‬‬
‫وأرﺳﻠت ﻋن طرﯾﻖ اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ‪ ،IRC ،‬وظﺎﺋف اﻟﺷﺑﻛﺔ اﻷﺧرى‪.‬‬
‫ﻻ ﯾﺗطﻠب ﻟﺗﻛرار اﻟدودة اﻟﻣﺿﯾف‪ ،‬وإن ﻛﺎن ﻓﻲ ﺑﻌض اﻟﺣﺎﻻت ﯾﻣﻛن ﻟﻠﻣرء أن ﯾﻘﺎل ﺑﺄن ﻣﺿﯾف اﻟدودة ھﻲ آﻟﺔ أﺻﯾﺑت ﺑذﻟك‪ .‬اﻟدﯾدان ھﻲ ﻧوع‬
‫ﻓرﻋﻲ ﻣن اﻟﻔﯾروﺳﺎت‪ .‬اﻟﻣﮭﺎﺟﻣﯾن ﯾﺳﺗﺧدﻣوا ‪ worm payloads‬ﻟﺗﺛﺑﯾت ‪ backdoor‬ﻓﻲ أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺻﺎﺑﺔ‪ ،‬واﻟﺗﻲ ﺗﺣوﻟﮭم إﻟﻰ‬
‫‪ zombies‬وﯾﻧﺷﺄ ‪botnet‬؛ ھذه ‪ botnet‬ﯾﻣﻛن اﺳﺗﺧداﻣﮫ ﻟﺗﻧﻔﯾذ اﻟﻣزﯾد ﻣن اﻟﮭﺟﻣﺎت اﻻﻟﻛﺗروﻧﯾﺔ‪.‬‬

‫‪587‬‬
‫ﻣﺎ ھو اﻟﻔرق ﺑﯾن اﻟﻔﯾروس واﻟدﯾدان؟‬

‫‪Virus‬‬ ‫‪Worms‬‬
‫اﻟﻔﯾروس ھو ﻣﻠف واﻟذي ﻻ ﯾﻣﻛن أن ﯾﻧﺗﺷر إﻟﻰ أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر‬ ‫اﻟدودة‪ ،‬ﺑﻌد أن ﯾﺗم ﺗﺛﺑﯾﺗﮭﺎ ﻋﻠﻰ اﻟﻧظﺎم‪ ،‬ﯾﻣﻛن ﻧﺳﺦ وﻧﺷر ﻧﻔﺳﮭﺎ‬
‫اﻷﺧرى ﻣﺎ ﻟم ﯾﺗم ﻧﺳﺦ اﻟﻣﻠف اﻟﻣﺻﺎب وﻣن ﺛم إرﺳﺎﻟﮫ إﻟﻰ أﺟﮭزة‬ ‫ﺑﺎﺳﺗﺧدام ‪ ،Outlook ،IRC‬أو ﻏﯾرھﺎ ﻣن اﻟﺑراﻣﺞ اﻟﺑرﯾدﯾﺔ‬
‫اﻟﻛﻣﺑﯾوﺗر اﻷﺧرى‪ ،‬ﻓﻲ ﺣﯾن أن دودة ﯾﻔﻌل ﻋﻛس ذﻟك ﺗﻣﺎﻣﺎ‪.‬‬ ‫اﻟﻣﻌﻣول ﺑﮭﺎ‪.‬‬
‫ﻣﻠﻔﺎت ﻣﺛل‪ ،.sys،.exe،.com‬أو ﻣزﯾﺞ ﻣﻧﮭﺎ ﺗﻔﺳد ﺑﻣﺟرد واﺣدة‬ ‫اﻟدودة ﻋﺎدة ﻻ ﺗﻘوم ﺑﺗﻌدﯾل أي ﻣن اﻟﺑراﻣﺞ اﻟﻣﺧزﻧﺔ‪.‬‬
‫ﻋﻣل اﻟﻔﯾروس ﻋﻠﻰ اﻟﻧظﺎم‪.‬‬
‫اﻟﻔﯾروﺳﺎت ھﻲ أﺻﻌب ﺑﻛﺛﯾر ﻓﻲ إزاﻟﺗﮭﺎ ﻣن ﻋﻠﻰ اﻟﺟﮭﺎز اﻟﻣﺻﺎب‪.‬‬ ‫ﺑﺎﻟﻣﻘﺎرﻧﺔ ﻣﻊ اﻟﻔﯾروس‪ ،‬اﻟدودة ﯾﻣﻛن إزاﻟﺗﮭﺎ ﺑﺳﮭوﻟﺔ ﻣن اﻟﻧظﺎم‪.‬‬
‫ﺧﯾﺎرات اﻧﺗﺷﺎرھﺎ أﻗل ﺑﻛﺛﯾر ﻣن اﻟدودة ﻷن اﻟﻔﯾروﺳﺎت ﺗﺻﯾب ﻓﻘط‬ ‫ﺗﺣﺗوي ﻋﻠﻰ ﺧﯾﺎرات اﻻﻧﺗﺷﺎر أﻛﺛر ﻣن اﻟﻔﯾروس‬
‫اﻟﻣﻠﻔﺎت اﻟﻣوﺟودة ﻋﻠﻰ اﻟﺟﮭﺎز‪.‬‬
‫‪Worm Analysis: Stuxnet‬‬
‫اﻟﻣﺻدر‪http://www.symantec.com/index.jsp :‬‬
‫ﺳﺗوﻛﺳﻧت أو ﺳﺗﻛﺳﻧت )‪ (Stuxnet‬ھو ﻓﯾروس ﻛﻣﺑﯾوﺗري ﻣن اﻟﺟﯾل اﻟﺟدﯾد ﻗﺎدر ﻋﻠﻰ اﻟﺗﺳﻠل إﻟﻰ أﻧظﻣﺔ اﻟﺗﺣﻛم واﻟﻣراﻗﺑﺔ اﻟﻣﻌﻠوﻣﺎﺗﯾﺔ‬
‫اﻟﺧﺎﺻﺔ ﺑﮭذه اﻟﻣﺟﻣﻌﺎت‪ ،‬وأﯾﺿﺎ ً ﺑﺳواھﺎ ﻣن اﻟﻣﺟﻣﻌﺎت اﻟﺗﻲ ﺗﺗﺣﻛم ﺑﺎﻟﺑﻧﻰ اﻟﺗﺣﺗﯾﺔ ﻓﻲ ﺟﻣﯾﻊ اﻟﺑﻠدان اﻟﺻﻧﺎﻋﯾﺔ ﻓﻲ اﻟﻌﺎﻟم‪.‬‬
‫ﻣن اﻟﻧﺎﺣﯾﺔ اﻟﺗﻘﻧﯾﺔ ﻓﺈﻧﮫ ﻓﯾروس ﻣن ﻧوع "دودة" ‪ worm‬ﯾﺻﯾب أﻧظﻣﺔ ‪ .Windows‬وﻗد ﺗم اﻛﺗﺷﺎﻓﮫ أوﻻً ﻓﻲ ﺣزﯾران\ﯾوﻧﯾو ‪ 2010‬ﻣن‬
‫ﺟﺎﻧب ﺷرﻛﺔ ‪ VirusBlokAda‬اﻟﻣﺗﺧﺻﺻﺔ ﻓﻲ اﻷﻣن اﻟﻣﻌﻠوﻣﺎﺗﻲ‪ ،‬وﻣﻘرھﺎ ﻓﻲ روﺳﯾﺎ اﻟﺑﯾﺿﺎء‪ .‬ﺛم ظﮭر ﻓﻲ ﻣﺎﻟﯾزﯾﺎ ودول ﻣﺗﻌددة‪ ،‬وﯾﻘدر‬
‫أﻧﮭﺎ أﺻﺎﺑت ﺣواﻟﻲ ‪ 45‬أﻟف ﺟﮭﺎز ﻛﻣﺑﯾوﺗر ﻓﻲ أﻧﺣﺎء اﻟﻌﺎﻟم ‪ %60‬ﻓﻲ إﯾران وﺣدھﺎ و‪ %18‬ﻓﻲ اﻧدوﻧﯾﺳﯾﺎ‪ ،‬وﻧﺣو‪ %2‬ﻓﻲ اﻟوﻻﯾﺎت اﻟﻣﺗﺣدة‪.‬‬
‫وﯾُﻌﺗﻘد أﻧﮫ ﻣن ﺻﻧﻊ اﻟوﻻﯾﺎت اﻟﻣﺗﺣدة اﻷﻣرﯾﻛﯾﺔ وإﺳراﺋﯾل‪.‬‬
‫ﻣن اﻟﻧﺎﺣﯾﺔ اﻟﻌﻣﻠﯾﺔ‪ ،‬إذا ﺟﺎز اﻟﺗﻌﺑﯾر‪ ،‬ﯾﻘوم ‪ Stuxnet‬ﺑﺄﻋﻣﺎل ﺗﺟﺳس ﻋﻠﻰ أﻧظﻣﺔ اﻟﺗﺣﻛم اﻟﺻﻧﺎﻋﯾﺔ ])‪[industrial control systems (ICS‬‬
‫وإﻋﺎدة ﺑرﻣﺟﺗﮭﺎ‪ .‬وﻗد ﺗم ﺑرﻣﺟﺗﮫ ﺧﺻﯾﺻﺎ ﻟﻠﮭﺟوم ﻋﻠﻰ أﻧظﻣﺔ )‪ (SCADA‬اﻟﻣﺧﺻﺻﺔ ﻟﻠﻣراﻗﺑﺔ واﻟﺗﺣﻛم وﺗﺟﻣﯾﻊ اﻟﺑﯾﺎﻧﺎت‪ .‬وﻟدى ‪Stuxnet‬‬
‫اﻟﻘدرة ﻋﻠﻰ إﻋﺎدة ﺑرﻣﺟﺔ وﺣدات اﻟﺗﺣﻛم اﻟﻣﻧطﻘﻲ اﻟﻘﺎﺑﻠﺔ ﻟﻠﺑرﻣﺟﺔ])‪ ، [Programmable Logic Controllers (PLCs‬وإﺧﻔﺎء‬
‫اﻟﺗﻐﯾﯾرات اﻟﺗﻲ ﺗم ﺗﻧﻔﯾذھﺎ‪ .‬وﺗﺗم ﻋﻣﻠﯾﺔ اﻟزرع اﻷول ﻟﻠﻔﯾروس ﺑواﺳطﺔ ﻣﻧﺎﻓذ‪ ، USB‬وﻣن ﺛم ﯾﺗﻔﺷﻰ ﺑﺎﻷﺟﮭزة ﻋن طرﯾﻖ اﻟﺗواﻟد اﻟﻣﻌروﻓﺔ ﻓﻲ‬
‫اﻟﻔﯾروﺳﺎت اﻟدودﯾﺔ‪.‬‬
‫ﻧظﺎم« ‪ SCADA‬ﺳﻛﺎدا« ﻣن ﺗﺻﻣﯾم ﺷرﻛﺔ ‪ Siemens‬اﻷﻟﻣﺎﻧﯾﺔ‪ ،‬وﻟﮫ ﺗطﺑﯾﻘﺎت ﻣﺗﻌددة‪ ،‬ﻛﺗﻧظﯾم ﺣرﻛﺔ اﻟﺳﯾر‪ ،‬وﺧطوط اﻷﻧﺎﺑﯾب وإدارة‬
‫اﻟﻣﻔﺎﻋﻼت اﻟﻧووﯾّﺔ‪.‬‬
‫أن ‪ Stuxnet‬ﻗد ﺻ ّﻣم ﻓﻲ اﻷﺳﺎس ﻟﺿرب ھدف ﺻﻧﺎﻋﻲ ﻣﺣدّد‪ ،‬وﺗﻣﻛﻧوا ﻣن ﺣﺻر ھذا اﻟﮭدف اﻟﻣﺣدد ﻓﻲ‬ ‫ﯾﺗّﻔﻖ اﻟﻌدﯾد ﻣن اﻟﺧﺑراء ﻋﻠﻰ ّ‬
‫اﻟﻣﻧﺷﺂت اﻹﯾراﻧﯾّﺔ‪ .‬وﻓﻲ ھذا اﻹطﺎر‪ ،‬ﻗدّم ﺧﺑﯾران أﻟﻣﺎﻧﯾّﺎن ﻧظرﯾّﺗﯾن ﻣﺗﻧﺎﻗﺿﺗﯾن ﺣول اﻟﮭدف اﻟﻣﻘﺻود‪ .‬ﺣﯾث أن اﻟﻧظرﯾﺔ اﻷوﻟﻰ ﺗﻘول إن اﻟﮭدف‬
‫أن ﻏﺎﯾﺔ زرع اﻟﻔﯾروس ذات طﺑﯾﻌﺔ ﺗﺟﺳﺳﯾﮫ‪ ،‬وﯾﻛﻣن ﻓﻲ ﻧﻘل اﻟﻣﻌﻠوﻣﺎت إﻟﻰ‬ ‫ﯾﻣﺛّل ﻣﻔﺎﻋل ﺑوﺷﮭر اﻟﻧووي اﻹﯾراﻧﻲ اﻟﻣﺧطط ﻟﺗﺷﻐﯾﻠﮫ‪ .‬وﯾرى ّ‬
‫ﻛﻣﺑﯾوﺗر ﻣرﻛزي ﻓﻲ ﻣﺎﻟﯾزﯾﺎ‪ .‬ﺑﯾﻧﻣﺎ ﺗﻌﺗﺑر اﻟﻧظرﯾﺔ اﻷﺧرى أن ﻣﻔﺎﻋل »ﻧﺗﺎﻧز« اﻹﯾراﻧﻲ أﯾﺿﺎ ً ﻟﺗﺧﺻﯾب اﻟﯾوراﻧﯾوم‪ ،‬ﯾﺷ ّﻛل ھدﻓﺎ أﻛﺛر ﺟﺎذﺑﯾّﺔ‪.‬‬

‫‪588‬‬
‫ﺗﺧﺗص ھذه اﻟدودة ﺑﺎﻟﺗﺟﺳّس وﺣﺳب‪ ،‬وإﻧّﻣﺎ ﺗﺣﻣل ﻓﻲ طﯾّﺎﺗﮭﺎ ﻣﮭﻣﺎت ﺗﺧرﯾﺑﯾّﺔ‪ ،‬ﻛﻣﺎ ﺗﺑﯾّن ﻟﺟﻣﯾﻊ اﻻﺧﺗﺻﺎﺻﯾﯾن‪ .‬إﺷﺎرة إﻟﻰ ورود ﻣﻌﻠوﻣﺎت‬‫ّ‬ ‫ﻓﻼ‬
‫ﺗﺷﯾر إﻟﻰ أن اﻟﺷﯾﻔرة اﻟﻣﺻدرﯾﺔ اﻟﺧﺎﺻﺔ ﺑﺎﻟﻔﯾروس ﺗﺗﺿﻣن ﺗﺎرﯾﺦ "‪9‬أﯾﺎر‪/‬ﻣﺎﯾو ‪ ،"1979‬وھو ﺗﺎرﯾﺦ إﻋدام ﺟﺎﺳوس ﯾﮭودي إﯾراﻧﻲ ﻓﻲ إﯾران‪،‬‬
‫ﺑﻌد إﻧﺷﺎء "اﻟﺟﻣﮭورﯾﺔ اﻹﺳﻼﻣﯾﺔ اﻹﯾراﻧﯾﺔ"‪.‬‬
‫واﻟﻣﻌروف أن ﻟدى اﻟﻘوات اﻟﻣﺳﻠﺣﺔ "اﻹﺳراﺋﯾﻠﯾﺔ" وﺣدة ﻣﺗﺧﺻﺻﺔ ﻓﻲ اﻟﺣرب اﻟﻣﻌﻠوﻣﺎﺗﯾﺔ ﺗﻌرف ﺑﺎﻟوﺣدة ‪ ،8200‬وﻟﮭذه اﻟوﺣدة اﻟﻘدرات اﻟﺗﻲ‬
‫ﺗﻧف "إﺳراﺋﯾل"‪ ،‬ﻛﻣﺎ أﻧﮭﺎ ﻟم ﺗؤﻛد اﻟﺷﻛوك اﻟﻣﺣﯾطﺔ ﺑﺎﻟدور اﻟذي ذُﻛر ﺑﺄﻧﮭﺎ اﺿطﻠﻌت ﻓﯾﮫ ﺑﮭذا‬
‫ﺗﺗﯾﺢ ﻟﮭﺎ ﺗطوﯾر ﻓﯾروس ﻣﺛل اﻟـ‪ . Stuxnet‬وﻟم ِ‬
‫اﻟﺷﺄن‪ .‬وﻗد وﺻﻔت ﺷرﻛﺔ اﻷﻣن اﻟرﻗﻣﻲ ‪ Kaspersky Labs‬اﻟﻔﯾروس ‪ Stuxnet‬ﺑﺄﻧﮫ "ﻧﻣوذج ﻋﺎﻣل وﻣﺧﯾف وﻣن ﺷﺄﻧﮫ أن ﯾﺧﻠﻖ ﺳﺑﺎق‬
‫ﺗﺳﻠﺢ ﺟدﯾد ﻓﻲ اﻟﻌﺎﻟم"‪ .‬وأﺷﺎرت إﻟﻰ ﺧﺑراء ﯾﻌﻣﻠون ﻟﺣﺳﺎب دوﻟﺔ ﻣﺎ أو ﻣﺟﻣوﻋﺎت ﻟدﯾﮭﺎ ﻗدرات ﺗﻣوﯾﻠﯾﺔ ﻋﺎﻟﯾﺔ وراءه‪.‬‬
‫ﻣﻌﻠوﻣﺎت ﻋن اﺧﺗﺑﺎر اﻟﻔﯾروس ﻓﻲ أﻣﯾرﻛﺎ‪ :‬وﻣن اﻷﻣور اﻟﻣﺛﯾرة اﻟﺗﻲ ﻟم ﺗذﻛرھﺎ ﺳوى ﻗﻠﺔ ﻧﺎدرة ﻣن وﺳﺎﺋل اﻹﻋﻼم ھو أن ھﻧﺎك دﻻﺋل ﻛﺛﯾرة‬
‫ﺗﺷﯾر إﻟﻰ أﻧﮫ رﺑﻣﺎ ﺟرى اﺧﺗﺑﺎر ھذا اﻟﻔﯾروس ﻓﻲ اﻟوﻻﯾﺎت اﻟﻣﺗﺣدة اﻷﻣﯾرﻛﯾﺔ ﻗﺑل ﺗوﺟﯾﮭﮫ إﻟﻰ إﯾران‪ ،‬وأن ھذا اﻻﺧﺗﺑﺎر ﻗد ﯾﻛون ﺗﺳﺑب ﺑﻧﺗﺎﺋﺞ‬
‫ﻣدﻣرة‪ .‬ﻓﻠﻘد ﺣﺻل ﺗﻔﺟﯾر دﻣر ﻣﺟﻣﻊ ﺳﻛﻧﻲ ﺟﻧوﺑﻲ وﻻﯾﺔ ﻛﺎﻟﯾﻔورﻧﯾﺎ اﻷﻣﯾرﻛﯾﺔ ﻓﻲ ‪ 9‬أﯾﻠول‪/‬ﺳﺑﺗﻣﺑر ‪ 2010‬ﺑﺳﺑب اﻧﻔﺟﺎر أﻧﺎﺑﯾب ﺷﺑﻛﺔ اﻟﻐﺎز‬
‫اﻟﺗﻲ ﻛﺎﻧت ﺗﻐذي ھذا اﻟﻣﺟﻣﻊ‪ ،‬وﻟم ﯾﺗم ﺗﺣدﯾد أﺳﺑﺎب ھذا اﻻﻧﻔﺟﺎر ﺑدﻗﺔ‪ ،‬ﻟﻛن اﻟﺧﺑراء ﯾرﺟﺣون ﺑﺄﻧﮫ ﻗد ﯾﻌود إﻟﻰ ﺧﻠل ﻓﻲ ﻧظﺎم ﺗﺣﻛم وﻣراﻗﺑﺔ‬
‫ﺷﺑﻛﺔ اﻷﻧﺎﺑﯾب‪ ،‬أي أن اﻟﻔﯾروس ﻛﺎن ﯾﻣﻛن أن ﯾﺗﺳﺑب ﺑﺎﻟﺣﺎدث‪...‬‬
‫ﻛذﻟك‪ ،‬ﻓﺈن اﻟﺳﺑب اﻟﺣﻘﯾﻘﻲ ﻻﻧﻔﺟﺎر ﻣﺣطﺔ اﺳﺗﺧراج اﻟﻧﻔط ﻓﻲ ﺧﻠﯾﺞ اﻟﻣﻛﺳﯾك ﻓﻲ ‪ 20‬ﻧﯾﺳﺎن‪/‬أﺑرﯾل اﻟﺟﺎري ﻟم ﯾﻌرف ﺑﻌد‪ ،‬وﻟﻛﻧﮫ ﻗد ﯾﻌود أﯾﺿﺎ ً‬
‫إﻟﻰ ﺧﻠل ﻓﻲ ﻧظﺎم اﻟﺗﺣﻛم واﻟﻣراﻗﺑﺔ‪ .‬وﻗد أوردت اﻟﻧﺷرة اﻷﻣﯾرﻛﯾﺔ "ﺻﺣﺎﻓﺔ أﻣﯾرﻛﺎ اﻟﺣرة" ‪ American Free Press‬اﻟﺷﻛوك واﻟﻘراﺋن‬
‫ﺣول اﺣﺗﻣﺎل أن ﯾﻛون "اﻹﺳراﺋﯾﻠﯾﯾن" ﻗد اﺧﺗﺑروا اﻟﻔﯾروس ‪ Stuxnet‬ﻋﻠﻰ ﺣﺳﺎب اﻟوﻻﯾﺎت اﻟﻣﺗﺣدة ﻓﻲ ﻋددھﺎ ‪.42‬‬
‫ﺳﺗﻛﺳﻧت ﯾﻘوم ﺑﻣﮭﺎﺟﻣﮫ أﻧظﻣﺔ اﻟﺗﺣﻛم اﻟﺻﻧﺎﻋﯾﺔ ])‪ [industrial control systems (ICS‬اﻟﻣﺳﺗﺧدﻣﺔ ﻋﻠﻰ ﻧطﺎق واﺳﻊ ﻓﻲ ﻣراﻗﺑﺔ‬
‫اﻟوﺣدات اﻟﺗﻲ ﺗﻌﻣل آﻟﯾﺎ ﺣﯾث ﻻ ﯾﻌﻣل ﺑﺷﻛل ﻋﺷواﺋﻲ ﻛﻣﺎ ھﻲ اﻟﻌﺎدة وإﻧﻣﺎ ﺑﺷﻛل ﻣﺣدد ﺟدا وذﻟك ﻋن طرﯾﻖ اﻟﺗﻌدﯾل ﻋﻠﻰ‬
‫)‪ .Programmable Logic Controllers (PLCs‬إذ ﯾﻘوم ﺑﻌد اﺧﺗراق اﻷﺟﮭزة واﻟﺣواﺳﯾب ﺑﺎﻟﺗﻔﺗﯾش ﻋن ﻋﻼﻣﺔ ﻓﺎرﻗﺔ ﺗﺗﻌﻠﻖ ﺑﺄﻧظﻣﺔ‬
‫ﺻﻧﻌﺗﮭﺎ ﺷرﻛﺔ ﺳﯾﻣﻧز اﻷﻟﻣﺎﻧﯾﺔ)‪ ، (Siemens Step7 software‬وﻓﻲ ﺣﺎﻟﮫ ﻣﺎ وﺟدھﺎ ﻋﻧدھﺎ ﯾﻘوم ﺑﺗﻔﻌﯾل ﻧﻔﺳﮫ وﯾﺑدأ ﺑﺎﻟﻌﻣل ﻋﻠﻰ ﺗﺧرﯾب‬
‫وﺗدﻣﯾر اﻟﻣﻧﺷﺄة اﻟﻣﺳﺗﮭدﻓﺔ ﻣن ﺧﻼل اﻟﻌﺑث ﺑﺄﻧظﻣﺔ اﻟﺗﺣﻛم وﻗد ﺗﺗﻌدد اﻟﻣﻧﺷﺂت اﻟﺗﻲ ﯾﺳﺗطﯾﻊ ﻣﮭﺎﺟﻣﺗﮭﺎ ﻣن ﺧطوط ﻧﻘل اﻟﻧﻔط إﻟﻰ ﻣﺣطﺎت ﺗوﻟﯾد‬
‫اﻟﻛﮭرﺑﺎء وﺣﺗﻰ اﻟﻣﻔﺎﻋﻼت اﻟﻧووﯾﺔ وﻏﯾرھﺎ ﻣن اﻟﻣﻧﺷﺂت اﻻﺳﺗراﺗﯾﺟﯾﺔ اﻟﺣﺳّﺎﺳﺔ‪ ،‬أ ّﻣﺎ إذا ﻟم ﯾﺟدھﺎ‪ ،‬ﻓﯾﺗرك اﻟﺣﺎﺳوب وﺷﺄﻧﮫ‪.‬‬
‫ﻗد ﺗﻣت ﺑرﻣﺟﺔ ﺳﺗﻛﺳﻧت ﺧﺻﯾﺻﺎ ﻟﻠﮭﺟوم ﻋﻠﻰ ﺑرﻧﺎﻣﺞ »ﺳﯾﻣﺎﺗﯾك وﯾن ﺳﻲ ﺳﻲ«‪ ،‬وھو ﻣﺎ ﯾﺳﻣﻰ ﺑﻧظﺎم ﺳﻛﺎدا )‪ (SCADA‬أو »اﻟﺗﺣﻛم‬
‫اﻹﺷراﻓﻲ وﺟﻣﻊ اﻟﻣﻌطﯾﺎت«‪ ،‬وھو ﻣﺻﻣم ﻣن ﺷرﻛﺔ ﺳﯾﻣﻧز اﻷﻟﻣﺎﻧﯾﺔ ﻻﺳﺗﺧداﻣﺎت ﻣﺗﻌددة‪ ،‬ﻛﺗﻧظﯾم ﺣرﻛﺔ اﻟﺳﯾر‪ ،‬اﻟﺳﯾطرة ﻋﻠﻰ ﺧطوط ﺗﺟﻣﯾﻊ‬
‫آﻻت اﻟﻣﺻﻧﻊ‪ ،‬وﺧطوط اﻷﻧﺎﺑﯾب وإدارة اﻟﻣﻔﺎﻋﻼت اﻟﻧووﯾّﺔ وﻏﯾرھﺎ ﻣن اﻟﻣﮭﺎم اﻟﺗﻲ ﯾﺗم اﻟﻘﯾﺎم ﺑﮭﺎ آﻟﯾﺎ ً‪ .‬وﻟدى ﺳﺗﻛﺳﻧت اﻟﻘدرة ﻋﻠﻰ إﻋﺎدة ﺑرﻣﺟﺔ‬
‫وﺣدات اﻟﺗﺣﻛم اﻟﻣﻧطﻘﻲ اﻟﻘﺎﺑﻠﺔ ﻟﻠﺑرﻣﺟﺔ)‪ ، (PLCs‬وإﺧﻔﺎء اﻟﺗﻐﯾﯾرات اﻟﺗﻲ ﺗم ﺗﻧﻔﯾذھﺎ‪.‬‬
‫ﻗد ﻗﺎﻣت ﺷرﻛﺔ ﺳﯾﻣﻧز ﻣﻧذ اﻛﺗﺷﺎﻓﮭﺎ ﻟﮭذه اﻟدودة اﻟﺟدﯾدة ﺑﺣﻣﻠﺔ واﺳﻌﺔ ﻟﺗﻌﻘّب اﻧﺗﺷﺎرھﺎ ﻋﺑر ﻣوﻗﻌﮭﺎ اﻹﻟﻛﺗروﻧﻲ‪.‬‬
‫ﺷرﻛﺔ اﻷﻣن اﻟرﻗﻣﻲ اﻟروﺳﯾﺔ "ﻣﺧﺗﺑرات ﻛﺎﺳﺑرﺳﻛﻲ" ‪ “Kaspersky Laboratories‬وﺻﻔت ‪ Stuxnet‬ﺑﺄﻧﮫ "ﻧﻣوذج ﻋﺎﻣل وﻣﺧﯾف‬
‫وﻣن ﺷﺄﻧﮫ أن ﯾﺧﻠﻖ ﺳﺑﺎق ﺗﺳﻠﺢ ﺟدﯾد ﻓﻲ اﻟﻌﺎﻟم"‪ .‬واﺷﺎرت إﻟﻰ أﻧﮫ ﯾوﺟد ﺧﺑراء ﯾﻌﻣﻠون ﻟﺣﺳﺎب دوﻟﺔ ﻣﺎ أو ﻣﺟﻣوﻋﺎت ﻟدﯾﮭﺎ ﻗدرات ﺗﻣوﯾﻠﯾﺔ‬
‫ﻋﺎﻟﯾﺔ وراءه‪.‬‬
‫ورد أن ﺳﺗﻛﺳﻧت دﻣرت ﻧﺣو ﺧﻣس ﻣن أﺟﮭزة اﻟطرد اﻟﻣرﻛزي اﻟﻧووي اﻹﯾراﻧﻲ‪.‬‬

‫‪589‬‬
‫ﺳﺗﻛﺳﻧت ﯾﺣﺗوي ﻋﻠﻰ اﻟﻌدﯾد ﻣن اﻟﻣﯾزات ﻣﺛل‪:‬‬

‫‪ -‬ﯾﻌﯾد إﻧﺷﺎء ﻧﺳﺦ ذاﺗﯾﺎ ﻣن ﺧﻼل ﻣﺣرﻛﺎت اﻷﻗراص اﻟﻘﺎﺑﻠﺔ ﻟﻺزاﻟﺔ ﺑﺎﺳﺗﻐﻼل ﻧﻘﺎط ﺿﻌف ﻟﻠﺳﻣﺎح ﺑﺎﻟﺗﻧﻔﯾذ اﻟﯾﺎ )‪.(auto-execution‬‬
‫‪ -‬ﯾﻧﺗﺷر ﻓﻲ اﻟﺷﺑﻛﺔ اﻟﻣﺣﻠﯾﺔ ﻣن ﺧﻼل ﺛﻐرة أﻣﻧﯾﺔ ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل ‪ Windows‬ﻓﻲ ‪.Windows Print Spooler‬‬
‫‪ -‬ﯾﻧﺗﺷر ﻋن طرﯾﻖ ‪ SMB‬ﻣن ﺧﻼل اﺳﺗﻐﻼل‪ Microsoft Windows Server Service RPC‬ﻣن ﺧﻼل اﻟﺗﻌﺎﻣل ﻣﻊ ﺛﻐرة‬
‫‪.Remote Code Execution‬‬
‫‪ -‬ﺗﻧﺳﺦ وﺗﻧﻔذ ﻧﻔﺳﮭﺎ ﻋﻠﻰ أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر ﻋن ﺑﻌد ﻋن طرﯾﻖ ﻣﺷرﻛﺎت اﻟﺷﺑﻛﺔ )‪ (network share‬واﻟﺗﻲ ﺗﻘوم ﺑﺗﺷﻐﯾل اﻟﺧﺎدم‬
‫‪.WinCC database server‬‬
‫‪ -‬ﯾﻧﺳﺦ ﻧﻔﺳﮫ إﻟﻰ ‪ Step 7 projects‬ﺑﻣﺛل اﻟطرﯾﻘﺔ اﻟﺗﻲ ﯾﺗم ﺗﻧﻔﯾذھﺎ ﺗﻠﻘﺎﺋﯾﺎ ﻋﻧد ﯾﺗم ﺗﺣﻣﯾل‪. Step 7 project‬‬
‫‪ -‬ﯾﻘوم ﺑﺗﺣدﯾث ﻧﻔﺳﮫ ﻣن ﺧﻼل آﻟﯾﺔ ‪ peer-to-peer‬ﺿﻣن ‪.LAN‬‬
‫‪ -‬ﯾﺳﺗﻐل أرﺑﻌﺔ ﻧﻘﺎط ﺿﻌف ‪ unpatched‬ﻟﻣﺎﯾﻛروﺳوﻓت‪.‬‬
‫‪ -‬ﯾﺗﺻل ﺑﺧﺎدم اﻟﻘﯾﺎدة واﻟﺗﺣﻛم )‪ (command and control server‬اﻟﺗﻲ ﺗﺳﻣﺢ ﻟﻠﮭﺎﻛر ‪f‬ﺗﺣﻣﯾل وﺗﻧﻔﯾذ اﻟﺗﻌﻠﯾﻣﺎت اﻟﺑرﻣﺟﯾﺔ‪ ،‬ﺑﻣﺎ ﻓﻲ‬
‫ذﻟك اﻹﺻدارات اﻟﻣﺣدﺛﺔ‪.‬‬
‫‪ -‬ﯾﺣﺗوي ﻋﻠﻰ ‪ rootkit windows‬اﻟﺧﻔﯾﺔ اﻟﺗﻲ ﺗﺧﻔﻲ اﻟﺛﻧﺎﺋﯾﺎت )‪(binary‬اﻟﺧﺎﺻﺔ ﺑﮫ ﻓﻲ ﻣﺣﺎوﻟﮫ ﻟﺗﺟﺎوز اﻟﻣﻧﺗﺟﺎت اﻷﻣﻧﯾﺔ‪.‬‬
‫ﺳﺗﻛﺳﻧت ﻟدﯾﮫ ﺛﻼث وﺣدات‪ worm :‬اﻟذي ﺗﻧﻔذ ﻛﺎﻓﺔ اﻹﺟراءات اﻟﺗﻲ ﺗﺗﻌﻠﻖ ﺒ ‪ payload‬اﻟرﺋﯾﺳﯾﺔ ﻟﻠﮭﺟوم؛ ‪ links files‬واﻟذي ﯾﻧﻔذ ﻧﺷر‬
‫ﻧﺳﺦ اﻟدودة ﺗﻠﻘﺎﺋﯾﺎ؛ وﻋﻧﺻر ‪ rootkit‬اﻟﻣﺳؤوﻟﺔ ﻋن إﺧﻔﺎء ﻛل اﻟﻣﻠﻔﺎت واﻟﻌﻣﻠﯾﺎت اﻟﺧﺑﯾﺛﺔ‪ ،‬وﻣﻧﻊ اﻟﻛﺷف ﻋن وﺟود ﺳﺗﻛﺳﻧت‪ .‬ﻋﺎدة ﯾﺗم أدﺧﺎل‬
‫ﺳﺗﻛﺳﻧت ﻟﻠﺑﯾﺋﺔ اﻟﮭدف ﻋن طرﯾﻖ ﻣﺣرك أﻗراص ﻓﻼش ‪ USB‬اﻟﻣﺻﺎﺑﺔ‪ .‬اﻟﻔﯾروس ﯾﻧﺗﺷر ﻋﺑر اﻟﺷﺑﻛﺔ وﯾﻔﺣص اﻟﺑرﻣﺟﯾﺎت ﻟﻠﺑﺣث ﻋن ﺳﯾﻣﻧز‬
‫‪ STEP7‬ﻋﻠﻰ أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﺗﻲ ﺗﺳﯾطر ﻋﻠﻰ ‪ .PLC‬ﻓﻲ ﻏﯾﺎب ﻛل اﻟﻣﻌﺎﯾﯾر‪ ،‬ﺳﺗﻛﺳﻧت ﯾﺻﺑﺢ ﻧﺎﺋم داﺧل اﻟﻛﻣﺑﯾوﺗر‪ .‬إذا ﺗوﻓرت اﻟﺷروط‬
‫ﻋﻠﻰ ﺣد ﺳواء‪ ،‬ﻓﺎن ﺳﺗﻛﺳﻧت ﯾﻘوم ﺑزرع ‪ rootkit‬اﻟﻣﺻﺎﺑﺔ ﻋﻠﻰ ﺑرﻧﺎﻣﺞ ‪ PLC‬و‪ ،STEP7‬وﻣن ﺛم ﺗﻌدﯾل اﻟﻘواﻧﯾن وإﻋطﺎء أواﻣر ﻏﯾر‬
‫ﻣﺗوﻗﻌﺔ ﻠ ‪.PLC‬‬
‫ﺳﺗﻛﺳﻧت ﯾﺗﻛون ﻣن ﻣﻠف )‪ (.dll‬ﻛﺑﯾر ﯾﺣﺗوي ﻋﻠﻰ اﻟﻌدﯾد ﻣن )‪ (export‬واﻟﻣوارد)‪ (resource‬اﻟﻣﺧﺗﻠﻔﺔ واﺛﻧﯾن ﻣن ﻛﺗل اﻻﻋداد اﻟﻣﺷﻔرة‬
‫)‪ .(encrypted configuration blocks‬ﻓﺈﻧﮭﺎ ﺗﺗﺻﯾد ‪ Ntdll.dll‬ﻟﻣراﻗﺑﺔ اﻟطﻠﺑﺎت ﻟﺗﺣﻣﯾل أﺳﻣﺎء اﻟﻣﻠﻔﺎت اﻟﺗﻲ وﺿﻌت ﺧﺻﯾﺻﺎ‬
‫)‪(specially crafted filenames‬؛ ﯾﺗم ﺗﻌﯾﯾن ھذه اﻷﺳﻣﺎء ﻟﻣوﻗﻊ آﺧر ﺑدﻻ ﻣن‪ ،‬اﻟﻣوﻗﻊ اﻟﻣﺣدد ﺑواﺳطﺔ ‪ .W32.Stuxnet‬اﻟﻣﻛون اﻟﺳﺎﻗط‬
‫)‪ (dropper component‬ﻟﻠﺳﺗﻛﺳﻧت ھو ﺑرﻧﺎﻣﺞ اﻟﻐﻼف )‪ (wrapper program‬اﻟذي ﯾﺣﺗوي ﻋﻠﻰ ﻛﺎﻓﺔ اﻟﻌﻧﺎﺻر اﻟﻣﺧزﻧﺔ داﺧل ﻧﻔﺳﮭﺎ‬
‫ﺗﺣت اﻟﻘﺳم اﻟﻣﺳﻣﻰ "‪ ،"stub.‬وﻋﻧدﻣﺎ ﯾﺗم ﺗﻧﻔﯾذ ھذا اﻟﺗﮭدﯾد‪ ،‬ﻓﺎن ﺑرﻧﺎﻣﺞ اﻟﻐﻼف )‪ (wrapper program‬ﯾﺳﺗﺧرج ﻣﻠﻔﺎت )‪ (.dll‬ﻣن اﻟﻘﺳم‬
‫‪ ،sub.‬ﺛم ﯾﻘوم ﺑﺗﻌﯾﻧﮫ او زراﻋﺗﮫ ﻓﻲ اﻟذاﻛرة ﻛوﺣدة ﻧﻣطﯾﺔ‪ ،‬واﻟﺗﻲ ﺗﻘوم ﺑﺎﺳﺗدﻋﺎء واﺣدة ﻣن ‪ .export‬ﻋﻧدﻣﺎ ﯾﺗم اﺳﺗدﻋﺎء )‪ ،(export‬ﻓﺎن‬
‫ﺳﺗﻛﺳﻧت ﻋﺎدة ﯾﻘوم ﺑﺣﻘن ‪ .dll‬ﺑﺄﻛﻣﻠﮫ إﻟﻰ ﻋﻣﻠﯾﺎت أﺧرى ﺛم ﯾﺳﺗدﻋﻰ ﻓﻘط ‪ export‬ﻣﻌﯾﻧﺔ‪ .‬ﻋﻧدﻣﺎ ﯾﺗم اﻟﺣﻘن ﻓﻲ ﻋﻣﻠﯾﺔ ﻣوﺛوق ﺑﮭﺎ‪ ،‬ﻓﺎن‬
‫ﺳﺗﻛﺳﻧت ﯾﺗﺣﻔظ ﺑﺄﻛواد اﻟﺣﻘن ﻓﻲ ﻋﻣﻠﯾﺔ ﻣوﺛوق ﺑﮫ أو ﯾرﺷد اﻟﻌﻣﻠﯾﺔ اﻟﻣوﺛوق ﺑﮭﺎ ﻟﺣﻘن اﻟﻛود ﻓﻲ ﻋﻣﻠﯾﺔ أﺧرى ﻗﯾد اﻟﺗﺷﻐﯾل ﺣﺎﻟﯾﺎ‪ .‬وﯾﺳﺗﺧدم‬
‫طرﯾﻘﺔ ﺧﺎﺻﺔ ﻣﺻﻣﻣﺔ ﻟﺗﺟﺎوز ‪ behavior blocking‬و ‪Host intrusion-protection based technologies‬واﻟﺗﻲ ﺗرﺻد ﺗﺣﻣﯾل‬
‫‪.library calls‬‬
‫اﻟدول اﻟﺗﻲ ﺗﺄﺛرت‬
‫ﯾﻌﺗﻘد أن ھﺟوﻣﺎ إﻟﻛﺗروﻧﯾﺔ ﻣن ﺟﮭﺔ ﻣﺎ ﻗد ﺷن ﺑﺎﺳﺗﺧدام ﻓﯾروس ﺳﺗوﻛﺳﻧت ﻋﻠﻰ أﻧظﻣﺔ اﻟﻣﻌﻠوﻣﺎت ﻓﻲ إﯾران وﺧﺻﯾﺻﺎ ﻹﻟﺣﺎق اﻟﺿرر ﺑﺄﺟﮭزة‬
‫اﻟطرد اﻟﻣرﻛزي ﻟﺗﺧﺻﯾب اﻟﯾوراﻧﯾوم ﻓﻲ اﻟﻣﻧﺷﺂت اﻟﻧووﯾﺔ اﻹﯾراﻧﯾﺔ‪ .‬وﻛﺎن ﯾﺳﺗﮭدف ﻋﻠﻰ ﻣﺎ ﯾﺑدو اﻟﺑرﻧﺎﻣﺞ اﻟﻧووي اﻹﯾراﻧﻲ ﻛﻛل‪ .‬ﺛم ظﮭر ﻓﻲ‬
‫ﻣﺎﻟﯾزﯾﺎ ودول ﻣﺗﻌددة‪ ،‬وﯾﻘدر اﻧﮭﺎ اﺻﺎﺑت ﺣواﻟﻲ ‪ 45‬أﻟف ﺣﺎﺳب اﻟﻲ ﻓﻲ أﻧﺣﺎء اﻟﻌﺎﻟم ‪ %60‬ﻓﻲ إﯾران وﺣدھﺎ و‪ %18‬ﻓﻲ اﻧدوﻧﯾﺳﯾﺎ‪،‬‬
‫وﻧﺣو‪ %2‬ﻓﻲ اﻟوﻻﯾﺎت اﻟﻣﺗﺣدة‪.‬‬
‫‪Infection Routine Flow‬‬
‫ﻗﺑل ﻣﻧﺎﻗﺷﺔ ﺗﻘﻧﯾﺎت ﺳﺗﻛﺳﻧت ﻟﻣﮭﺎﺟﻣﺔ ‪ PLCs‬أوﻻ ﺳوف ﻧﻘدم ﻧظرة ﻋﻠﻰ أﺳﺎﺳﯾﺎت ﻛﯾﻔﯾﺔ اﻟوﺻول إﻟﻰ ‪ PLCs‬اﻟﻌﺎﻣﺔ وﺑرﻣﺟﺗﮭﺎ‪.‬‬

‫‪590‬‬
‫ﻟﻠوﺻول إﻟﻰ ‪ ،PLCs‬ﻓﺎﻧﮫ ﯾﺣﺗﺎج اﻟﻰ ﺑراﻣﺞ ﻣﻌﯾﻧﺔ ﻟﯾﺗم ﺗﺛﺑﯾﺗﮭﺎ؛ ﺳﺗﻛﺳﻧت ﺗﺳﺗﮭدف ﻋﻠﻰ وﺟﮫ اﻟﺗﺣدﯾد اﻟﺗطﺑﯾﻖ ‪ WinCC/Step 7‬اﻟﻣﺳﺗﺧدم‬
‫ﻟﺑرﻣﺟﺔ ﻧﻣﺎذج ﻣﻌﯾﻧﺔ ﻣن ‪ .PLCs‬ﻣﻊ ھذا اﻟﺑرﻧﺎﻣﺞ‪ ،‬ﯾﻣﻛن ﻟﻠﻣﺑرﻣﺞ اﻻﺗﺻﺎل ﺒ ‪ PLCs‬ﻋن طرﯾﻖ ﻛﺎﺑل اﻟﺑﯾﺎﻧﺎت واﻟوﺻول إﻟﻰ ﻣﺣﺗوﯾﺎت‬
‫اﻟذاﻛرة‪ ،‬وإﻋﺎدة ﺗﻛوﯾن ذﻟك‪ ،‬ﺗﺣﻣﯾل اﻟﺑرﻧﺎﻣﺞ ﻋﻠﯾﮫ‪ ،‬أو ﺗﺻﺣﯾﺢ اﻛواد ﺗم ﺗﺣﻣﯾﻠﮭﺎ ﺳﺎﺑﻘﺎ‪ .‬ﺑﻣﺟر ان ﯾﺗم اﻋداد ‪ PLCs‬وﺑرﻣﺟﺗﮫ‪ ،‬ﻓﯾﻣﻛﻧك ﻓﺻل‬
‫آﻟﺔ اﻟوﯾﻧدوز و‪ PLCs‬ﺳوف ﯾﻌﻣل ﻣن ﺗﻠﻘﺎء ﻧﻔﺳﮫ‪ .‬ﻹﻋطﺎﺋك ﻓﻛرة ﻋﻣﺎ ﯾﺑدو ھذا ﻣﺛل ﻣﺎ ﻓﻲ اﻟﺣﯾﺎة اﻟﺣﻘﯾﻘﯾﺔ‪ ،‬وھﻧﺎ ﺻورة ﻟﺑﻌض اﻟﻣﻌدات‬
‫اﻷﺳﺎﺳﯾﺔ اﻻﺧﺗﺑﺎر ﻓﻲ اﻟﻣﺧﺗﺑر‪:‬‬
‫اﻟﺑرﻧﺎﻣﺞ ‪ Step 7‬ﯾﺳﺗﺧدم ﻣﻠف ﻣﻛﺗﺑﺔ )‪ (library file‬ﯾﺳﻣﻰ ‪ s7otbxdx.dll‬ﻷداء اﻟﺗواﺻل اﻟﻔﻌﻠﻲ ﻣﻊ ‪ .PLC‬وﯾدﻋو اﻟﺑرﻧﺎﻣﺞ ‪STEP7‬‬
‫إﺟراءات ﻣﺧﺗﻠﻔﺔ ﻓﻲ ھذا ‪ DLL‬ﻋﻧدﻣﺎ ﯾرﯾد اﻟوﺻول إﻟﻰ ‪ .PLC‬ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل‪ ،‬إذا ﻛﺎن ﻛﺗﻠﺔ ﻣن اﻷﻛواد ﺗﻘرأ ﻣن ‪ PLC‬ﺑﺎﺳﺗﺧدام‬
‫‪ ،Step 7‬ﻓﺎﻧﮫ روﺗﯾﻧﯾﺎ ﯾﺗم اﺳﺗدﻋﺎء ‪ .s7blk_read‬اﻷﻛواد ﻓﻲ ‪ s7otbxdx.dll‬ﺗﻘوم ﺑﺎﻟوﺻول إﻟﻰ ‪ ،PLC‬ﺗﻘرأ اﻷﻛواد وﺗﻣررھﺎ إﻟﻰ‬
‫اﻟﺑرﻧﺎﻣﺞ ‪ ،STEP7‬ﻛﻣﺎ ھو ﻣﺑﯾن ﻓﻲ اﻟرﺳم اﻟﺑﯾﺎﻧﻲ اﻟﺗﺎﻟﻲ‪:‬‬
‫دﻋوﻧﺎ اﻵن ﻧﻠﻘﻲ ﻧظرة ﻋﻠﻰ ﻛﯾف ﯾﻌﻣل اﻟوﺻول إﻟﻰ ‪ PCL‬ﻋﻧد ﺗﺛﺑﯾت ﺳﺗﻛﺳﻧت‪ .‬ﻋﻧدﻣﺎ ﯾﻌﻣل ﺳﺗﻛﺳﻧت‪ ،‬ﻓﺎﻧﮫ ﯾﻌﯾد ﺗﺳﻣﯾﺔ اﻟﻣﻠف اﻷﺻﻠﻲ‬
‫‪ s7otbxdx.dll‬إﻟﻰ ‪ .s7otbxsx.dll‬ﺑﻌد ذﻟك ﯾﺳﺗﺑدل ‪ DLL‬اﻷﺻﻠﯾﺔ ﻣﻊ ﻧﺳﺧﺗﮫ اﻟﺧﺎﺻﺔ ﺑﺎﺳﺗﺧدام ﺗﻘﻧﯾﺎت اﻟﺣﻘن )‪.(injection technique‬‬
‫ﺳﺗﻛﺳﻧت ﯾﻣﻛن اﻵن اﻋﺗراض أي ‪) calls‬اﺳﺗدﻋﺎء( ﯾﺗم إﺟراؤھﺎ ﻟﻠوﺻول إﻟﻰ ‪ PLCs‬ﻣن أي ﺣزم اﻟﺑراﻣﺞ‪.‬‬

‫‪591‬‬
‫ﻧﺟدا ان ﻣﻠف ﺳﺗﻛﺳﻧت ‪ s7otbxdx.dll‬اﻟﻣﻌدل ﯾﺣﺗوي ﻋﻠﻰ ﺟﻣﯾﻊ اﻟﺻﺎدرات )‪(export‬اﻟﻣﺣﺗﻣﻠﺔ ﻟل‪ DLL‬اﻷﺻﻠﻲ ‪-‬ﺑﺣد أﻗﺻﻰ ‪- 109‬ﻣﻣﺎ‬
‫ﯾﺳﻣﺢ ﻟﮭﺎ اﻟﺗﻌﺎﻣل ﻣﻊ ﺟﻣﯾﻊ اﻟطﻠﺑﺎت ﻧﻔﺳﮭﺎ‪ .‬ﯾﺗم ﺗوﺟﯾﮫ ﻏﺎﻟﺑﯾﺔ ھذه ‪ export‬ﺑﺑﺳﺎطﺔ إﻟﻰ ‪ DLL‬اﻟﺣﻘﯾﻘﯾﺔ‪ ،‬اﻟﺗﻲ ﺗﺳﻣﻰ اﻵن ‪،s7otbxsx.dll‬‬
‫وﻻ ﺷﻲء ﻏﯾر ﻣرﻏوب ﻓﯾﮫ ﯾﺣدث؛ ﻓﻲ اﻟواﻗﻊ‪ 93 ،‬ﻣن أﺻل ‪ 109‬ﻣن ‪ export‬ﯾﺗم اﻟﺗﻌﺎﻣل ﻣﻌﮭﺎ ﺑﮭذه اﻟطرﯾﻘﺔ‪ .‬اﻟﺧدﻋﺔ ھﻧﺎ‪ ،‬ﺗﻛﻣن ﻓﻲ‬
‫اﻟﺻﺎدرات ‪ 16‬اﻟﺗﻲ ﻻ ﯾﺗم ﺗوﺟﯾﮭﮭﺎ ﺑﺑﺳﺎطﺔ وﻟﻛن ﺑدﻻ ﻣن ذﻟك ﯾﺗم اﻋﺗراﺿﮭﺎ ﻣن ﻗﺑل ‪ DLL‬اﻟﻣﻌدل اﻟﺧﺎص ﺑﺳﺗﻛﺳﻧت‪ .‬اﻟﺻﺎدرات ‪16‬‬
‫)‪ (export‬اﻟﺗﻲ اﻋﺗرﺿت ھﻲ ﻋﺑﺎره ﻋن إﺟراءات اﻟﻘراءة واﻟﻛﺗﺎﺑﺔ‪ ،‬وﺗﺣدﯾد ﻛﺗل اﻟﺗﻌﻠﯾﻣﺎت اﻟﺑرﻣﺟﯾﺔ ﻋﻠﻰ ‪ .PLCs‬ﻋن طرﯾﻖ اﻋﺗراض‬
‫ھذه اﻟطﻠﺑﺎت ﺳﺗﻛﺳﻧت ھو ﻗﺎدرا ﻋﻠﻰ ﺗﻌدﯾل اﻟﺑﯾﺎﻧﺎت اﻟﻣرﺳﻠﺔ إﻟﻰ أو اﻟﻌﺎﺋدة ﻣن ‪ PLC‬ﻣن دون أن ﯾدرك ﻣﺷﻐل ‪ .PCLs‬ﻛﻣﺎ أﻧﮫ ﻣن ﺧﻼل‬
‫ھذه اﻹﺟراءات ﺳﺗﻛﺳﻧت ﻗﺎدر ﻋﻠﻰ إﺧﻔﺎء اﻟﺷﯾﻔرات اﻟﺧﺑﯾﺛﺔ اﻟﺗﻲ ھﻲ ﻓﻲ ‪.PLCs‬‬
‫ﺳﺗﻛﺳﻧت ﯾﻘوم أوﻻ ﺑﻔﺣص ﻣﺎ إذا ﻛﺎن ﻟدﯾﮭﺎ اﻣﺗﯾﺎزات اﻟﻣﺳؤول ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر‪ .‬ﺳﺗﻛﺳﻧت ﺗرﯾد أن ﺗﻌﻣل ﻣﻊ أﻋﻠﻰ اﻣﺗﯾﺎزات ﻣﻣﻛﻧﮫ ﺣﺗﻰ ﯾﺗﺳن‬
‫ﻟﮫ اﺗﺧﺎذ اﻹﺟراءات اﻟﺗﻲ ﯾرﯾدھﺎ ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر‪ .‬أﻣﺎ إذا ﻟم ﯾﻛن ﻟدﯾﮫ اﻣﺗﯾﺎزات اﻟﻣﺳؤول‪ ،‬ﻓﺈﻧﮫ ﯾﻧﻔذ واﺣد ﻣن اﺛﻧﯾن ﻣن ھﺟوم ﺗﺻﻌﯾد اﻻﻣﺗﯾﺎزات‬
‫‪ zero-day‬ﻛﻣﺎ ھو ﻣوﺿﺢ ﻓﻲ اﻟرﺳم اﻟﺑﯾﺎﻧﻲ اﻟﺗﺎﻟﻲ‪.‬‬
‫إذا ﻛﺎﻧت اﻟﻌﻣﻠﯾﺔ ﺑﺎﻟﻔﻌل ﻟدﯾﮭﺎ اﻟﺣﻘوق اﻟﺗﻲ ﺗطﻠﺑﮭﺎ‪ ،‬ﻓﺈﻧﮭﺎ ﺗﺷرع ﻓﻲ اﻻﺳﺗﻌداد ﻻﺳﺗدﻋﺎء اﻟﺻﺎدرات ‪ 16‬ﻓﻲ اﻟﻣﻠف)‪ (.dll‬اﻟرﺋﯾﺳﻲ‪ .‬ﻋﻧدﻣﺎ ﻻ‬
‫ﯾﻛون ﻟدى اﻟﻌﻣﻠﯾﺔ اﻣﺗﯾﺎزات اﻟﻣﺳؤول ﻋﻠﻰ اﻟﻧظﺎم‪ ،‬ﻓﺈﻧﮫ ﯾﺣﺎول اﻛﺗﺳﺎب ھذه اﻻﻣﺗﯾﺎزات ﺑﺎﺳﺗﺧدام واﺣد ﻣن اﺛﻧﯾن ﻣن ھﺟوم ﺗﺻﻌﯾد اﻻﻣﺗﯾﺎزات‬
‫‪ .zero-day‬وﯾﺳﺗﺧدم ﻧﺎﻗﻼت اﻟﮭﺟوم )‪ (attack vector‬ﻣﺳﺗﻧدا ﻋﻠﻰ ﻧظﺎم اﻟﺗﺷﻐﯾل اﻟﻣوﺟود ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺧﺗرق‪ .‬إذا ﻛﺎن ﻧظﺎم اﻟﺗﺷﻐﯾل‬
‫وﯾﻧدوز ﻓﯾﺳﺗﺎ‪ ،‬وﯾﻧدوز ‪ ،7‬أو ‪ ،Windows Server 2008 R2‬ﻓﺎن ﯾﺳﺗﻐل ﺛﻐرة ‪ Task Scheduler‬ﻟرﻓﻊ اﻣﺗﯾﺎزاﺗﮫ‪ .‬أﻣﺎ إذا ﻛﺎن ﻧظﺎم‬
‫اﻟﺗﺷﻐﯾل ‪ windows xp‬ﻓﺎن ﯾﺳﺗﻐل اﻟﺛﻐرة ‪ win32k.sys‬ﻟرﻓﻊ اﻣﺗﯾﺎزاﺗﮫ‪.‬‬
‫إذا ﺗم اﺳﺗﻐﻼل‪ ،‬ﻛل ﻣن ھذه اﻟﺛﻐرات ﺑﺷﻛل رﺋﯾﺳﻲ‪ .‬ﻓﺎن ﻣﻠف ‪ DLL‬ﯾﺗم ﺗﺷﻐﯾﻠﮫ ﻛﺄﻧﮫ ﻋﻣﻠﯾﺔ ﺟدﯾده‪ ،‬ﺳواء داﺧل ﻋﻣﻠﯾﺔ ‪ Csrss.exe‬ﻓﻲ ﺣﺎﻟﺔ‬
‫ﻛﺎﻧت اﻟﺛﻐرة ‪ win32k.sys‬أو ﻣﮭﻣﺔ ﺟدﯾدة ﻣﻊ اﻣﺗﯾﺎزات اﻟﻣﺳؤول ﻓﻲ ﺣﺎﻟﺔ اﻟﺛﻐرة ‪.Task Scheduler‬‬
‫اﻷﻛواد اﻟﺗﻲ ﺗﺳﺗﻐل اﻟﺛﻐرة ‪ win32k.sys‬ﯾﺗم ﺗﺧزﯾﻧﮭﺎ ﻓﻲ ‪ .resource 250‬إن ﺗﻔﺎﺻﯾل ﺛﻐرﺗﻲ ‪ win32k.sys‬و‪Task Scheduler‬‬
‫ﺣﺎﻟﯾﺎ ﻟم ﯾﺗم اﻻﻓراج ﻋن ‪ patch‬ﻟﮭﺎ وﻟﯾﺳت ﻣﺗﺎﺣﺔ ﺑﻌد‪.‬‬
‫ﻛﻣﺎ ﻗﻠﻧﺎ ﺳﺎﺑﻘﺎ ان اﻹﺻدارات ‪ 16‬اﻟﺑﺎﻗﯾﺔ ھﻲ اﻟﺗﻲ ﯾﺗﺣﻛم ﻓﯾﮭﺎ ﺳﺗﻛﺳﻧت‪ ،‬ﺑﻌدا اﻛﺗﻣﺎل ﻓﺣص ﺳﺗﻛﺳﻧت ﻟﻠﺻﺎدر )‪(export‬رﻗم ‪ 15‬ﻓﺎﻧﮫ ﯾﺑدا‬
‫اﺳﺗدﻋﺎء اﻟﺻﺎدر رﻗم ‪.16‬‬
‫اﻟﺻﺎدر رﻗم ‪ (export 16) 16‬ھو اﻟﻣﺛﺑت اﻟرﺋﯾﺳﻲ ﻟﻠﺳﺗﻛﺳﻧت‪ .‬ﻓﺈﻧﮫ ﯾﺗﺣﻘﻖ ﻣن ﺗﺎرﯾﺦ ورﻗم اﻹﺻدار ﻣن اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺧﺗرق؛ ﯾﻔك ﺷﻔرة‪،‬‬
‫وﯾﻧﺷﺎ‪ ،‬وﯾﺛﺑت ﻣﻠﻔﺎت ‪ rootkits‬وﻣﻔﺎﺗﯾﺢ ‪registry‬؛ ﯾﺣﻘن ﻧﻔﺳﮫ ﻓﻲ ﻋﻣﻠﯾﺔ ‪ Services.exe‬ﻟﯾﺻﯾب ﻣﺣرﻛﺎت اﻷﻗراص اﻟﻘﺎﺑﻠﺔ ﻟﻺزاﻟﺔ؛‬
‫ﯾﺣﻘن ﻧﻔﺳﮫ ﻓﻲ ﻋﻣﻠﯾﺔ‪ STEP7‬ﻟﯾﺻﯾب ﻛل ‪STEP7 Project‬؛ ﯾﻘوم ﺑﺗﺛﺑﯾت ﻛﺎﺋﻧﺎت اﻟﻣزاﻣﻧﺔ اﻟﻌﺎﻟﻣﯾﺔ )‪ (global mutexes‬اﻟﺗﻲ ﺗﺳﺗﺧدم‬
‫ﻟﻼﺗﺻﺎل ﺑﯾن اﻟﻣﻛوﻧﺎت اﻟﻣﺧﺗﻠﻔﺔ؛ وﯾرﺑطﮫ إﻟﻰ ﻣﻠﻘم‪ Export16 . RPC‬ﯾﻘوم أوﻻ ﺑﻔﺣص ھل ﺑﯾﺎﻧﺎت اﻟﺗﻛوﯾن ﺻﺎﻟﺣﮫ‪ ،‬وﺑﻌد ذﻟك ﻓﺈﻧﮫ ﯾﺗﺣﻘﻖ‬
‫ﻣن ﻗﯾﻣﺔ "‪ "NTVDM TRACE‬ﻓﻲ ﻣﻔﺗﺎح ‪ registry‬اﻟﺗﺎﻟﻲ‪:‬‬
‫‪HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\MS-DOS Emulation‬‬

‫‪592‬‬
‫‪Worm Maker: Internet Worm Maker Thing‬‬
‫‪ Internet Worm Maker Thing‬ھﻲ أداة ﻣﺻﻣﻣﺔ ﺧﺻﯾﺻﺎ ﻷﻧﺷﺎء دودة‪ .‬اﻟدﯾدان اﻻﻧﺗرﻧت ھذه اﻟﺗﻲ ﺗم إﻧﺷﺎﺋﮭﺎ ﺗﺣﺎول اﻟﻧﺷر أﻛﺛر‬
‫ﻋﻠﻰ اﻟﺷﺑﻛﺎت اﻟﺗﻲ ھﻲ ﻓﻲ اﻷﺳﺎس ‪ preset invasion proxy attacks‬اﻟﺗﻲ ﺗﺳﺗﮭدف اﻟﻣﺿﯾف ﻣن اﻟﻧﺎﺣﯾﺔ اﻟﻔﻧﯾﺔ‪ ،‬ﺗﺳﻣﮫ ‪،poison‬‬
‫وﺗﺻﻧﻊ ﻗﺎﻋدة وﺧطط ﻟﺷن ھﺟوم ﻓﻲ اﻟﻣﺳﺗﻘﺑل‪ .‬اﻟدﯾدان ﺗﻌﻣل ﺑﺷﻛل ﻣﺳﺗﻘل‪ .‬دودة اﻹﻧﺗرﻧت ﺗرﺳل ﻧﺳﺦ ﻋن ﻧﻔﺳﮭﺎ ﻋﺑر أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر‬
‫اﻟﺿﻌﯾﻔﺔ اﻟﻣوﺟودة ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت‪.‬‬
‫‪Malware Analysis 7.4‬‬
‫ﺗﺣﻠﯾل اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ )‪ (Malware Analysis‬ﯾﻌرف ﺑﺎﻧﮫ ﻋﻣﻠﯾﺔ أﺧذ اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﺑﺷﻛل ﻣﻧﻔﺻل ﻟدراﺳﺗﮫ‪ .‬ﻋﺎدة ﻣﺎ ﯾﺗم ﺗﻧﻔﯾذ ذﻟك‬
‫ﻷﺳﺑﺎب ﻣﺧﺗﻠﻔﺔ ﻣﺛل ﻹﯾﺟﺎد ﻧﻘﺎط اﻟﺿﻌف اﻟﺗﻲ ﯾﺗم اﺳﺗﻐﻼﻟﮭﺎ ﻟﻧﺷر اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ‪ ،‬اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﺳرﻗت‪ ،‬ﺗﻘﻧﯾﺎت اﻟوﻗﺎﯾﺔ اﻟﺗﻲ ﯾﺟب‬
‫اﺗﺧﺎذھﺎ ﺿدھﺎ ﻣن دﺧول اﻟﻧظﺎم أو اﻟﺷﺑﻛﺔ ﻓﻲ اﻟﻣﺳﺗﻘﺑل‪ .‬ھذا اﻟﺟزء ﯾﻔﺳر ﻣﻌﻠوﻣﺎت ﻣﻔﺻﻠﺔ ﺣول إﺟراء ﺗﺣﻠﯾل ﻟﻠﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﻓﻲ اﻟﺷراﺋﺢ‬
‫اﻟﻘﻠﯾﻠﺔ اﻟﻣﻘﺑﻠﺔ‪.‬‬
‫?‪What Is a Sheep Dip Computer‬‬

‫‪ Sheep dipping‬ﯾﺷﯾر إﻟﻰ ﺗﺣﻠﯾل اﻟﻣﻠﻔﺎت اﻟﻣﺷﺗﺑﮫ ﺑﮫ‪ ،‬واﻟرﺳﺎﺋل اﻟواردة‪ ،‬وﻏﯾرھﺎ ﻣن أﺟل اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ‪.‬‬
‫‪ Sheep dip computer‬ھو ﺟﮭﺎز ﻛﻣﺑﯾوﺗر ﻣﺧﺻص ﯾﺳﺗﺧدم ﻻﺧﺗﺑﺎر اﻟﻣﻠﻔﺎت ﻋﻠﻰ اﻟوﺳﺎﺋط اﻟﻘﺎﺑﻠﺔ ﻟﻺزاﻟﺔ ﻣن اﺟل اﻟﻔﯾروﺳﺎت ﻗﺑل‬
‫اﻟﺳﻣﺎح ﻟﮫ ﻟﯾﺗم اﺳﺗﺧداﻣﮭﺎ ﻣﻊ أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻷﺧرى‪.‬‬
‫ھذا "‪ "Sheep dipping computer‬ﯾﺗم ﻋزل اﻟﻛﻣﺑﯾوﺗر ﻋن أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻷﺧرى ﻋﻠﻰ اﻟﺷﺑﻛﺔ ﻟﻣﻧﻊ أي ﻣن اﻟﻔﯾروﺳﺎت ﻣن دﺧول‬
‫اﻟﻧظﺎم‪ .‬ﻗﺑل اﺗﻣﺎم ھذا اﻹﺟراء‪ ،‬ﻓﺎﻧﮫ ﯾﺗم ﺣﻔظ أي ﻣن اﻟﺑراﻣﺞ اﻟﺗﻲ ﺗم ﺗﺣﻣﯾﻠﮭﺎ ﻋﻠﻰ وﺳﺎﺋط ﺧﺎرﺟﯾﺔ ﻣﺛل اﻷﻗراص اﻟﻣدﻣﺟﺔ أو اﻷﻗراص اﻟﻣرﻧﺔ‪.‬‬
‫‪ Sheep dip computer‬ﯾﺗم ﺗﺛﺑﯾت ﻓﯾﮫ ﻣراﻗب اﻟﻣﻧﺎﻓذ‪ ،‬ﻣراﻗب اﻟﻣﻠﻔﺎت‪ ،‬ﻣراﻗب اﻟﺷﺑﻛﺔ‪ ،‬وﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت وﯾﺗم رﺑطﺔ ﺑﺎﻟﺷﺑﻛﺔ ﻓﻲ‬
‫ظل ظروف ﺧﺎﺿﻌﺔ ﻟرﻗﺎﺑﺔ ﺻﺎرﻣﺔ‪.‬‬
‫‪Sheep dip computer‬‬
‫‪ -‬ﯾﻘوم ﺑﺗﺷﻐﯾل ﻣراﻗب اﻟﻣﻧﺎﻓذ واﻟﺷﺑﻛﺔ‪.‬‬
‫‪ -‬ﯾﻘوم ﺑﺗﺷﻐﯾل ﻣراﻗب اذوﻧﺎت اﻟﻣﺳﺗﺧدم واﻟﺟروب‪ ،‬ﻣراﻗب اﻟﻌﻣﻠﯾﺔ‪.‬‬
‫‪ -‬ﺗﺷﻐﯾل ﻣراﻗب ﺑراﻣﺞ اﻷﺟﮭزة )‪ (device driver‬وﻣراﻗب اﻟﻣﻠﻔﺎت‪.‬‬
‫‪ -‬ﺗﺷﻐﯾل ﻣراﻗب ‪ registry‬واﻟﻛﯾرﻧل‪.‬‬

‫‪593‬‬
‫أﻧظﻣﺔ اﺳﺗﺷﻌﺎر ﻣﻛﺎﻓﺢ اﻟﻔﯾروﺳﺎت )‪(Antivirus Sensor Systems‬‬

‫ﻧظﺎم ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ھﻲ ﻋﺑﺎرة ﻋن ﻣﺟﻣوﻋﺔ ﻣن ﺑراﻣﺞ اﻟﻛﻣﺑﯾوﺗر اﻟﺗﻲ ﯾﻛﺗﺷف وﯾﺣﻠل ﻣﺧﺗﻠف ﺗﮭدﯾدات اﻟﺷﯾﻔرات اﻟﺧﺑﯾﺛﺔ ﻣﺛل‬
‫اﻟﻔﯾروﺳﺎت‪ ،‬واﻟدﯾدان‪ ،‬وأﺣﺻﻧﺔ طروادة‪ .‬ﯾﺗم اﺳﺗﺧداﻣﮭﺎ ﺟﻧﺑﺎ إﻟﻰ ﺟﻧب ﻣﻊ أﺟﮭزة ‪.Sheep dip computer‬‬
‫وﯾﺷﻣل ﻧظﺎم ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت)‪ ،(anti-virus‬ﻣﻛﺎﻓﺢ اﻟﺗﺟﺳس)‪ ،(anti-spyware‬ﻣﻛﺎﻓﺣﺔ طروادة)‪،(anti-Trojan‬‬
‫‪ ،anti-Phishing ،anti-spamware‬وﻓﺎﺣص اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ‪ ،‬وھﻠم ﺟرا‪ .‬ﻋﺎدة‪ ،‬ﯾﺗم وﺿﻌﮭﺎ ﻓﯾﻣﺎ ﺑﯾن اﻟﺷﺑﻛﺔ واﻹﻧﺗرﻧت‪ .‬ﻷﻧﮭﺎ ﺗﺗﯾﺢ‬
‫ﻓﻘط اﻟﺣرﻛﺔ اﻟﺣﻘﯾﻘﯾﺔ )‪ (genuine traffic‬اﻟوﺣﯾدة ﻓﻲ اﻟﺗدﻓﻖ ﻣن ﺧﻼل اﻟﺷﺑﻛﺔ وﻏﻠﻖ ﺣرﻛﺔ اﻟﻣرور اﻟﺿﺎرة ﻣن اﻟدﺧول‪ .‬وﻧﺗﯾﺟﺔ ﻟذﻟك‪ ،‬ﻓﺈﻧﮫ‬
‫ﯾﺿﻣن أﻣن اﻟﺷﺑﻛﺔ‪.‬‬
‫‪) Malware Analysis Procedure: Preparing Testbed‬إﺟراء ﺗﺣﻠﯾل اﻟﺑراﻣﺞ اﻟﺿﺎرة(‬
‫ﺗﺣﻠﯾل اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﯾﻘدم ﻓﮭم ﻋﻣﯾﻖ ﻟﻛل ﻋﯾﻧﺔ ﻋﻠﻰ ﺣدة وﯾﺣدد اﻻﺗﺟﺎھﺎت اﻟﻔﻧﯾﺔ اﻟﻧﺎﺷﺋﺔ ﻣن ﻣﺟﻣوﻋﺎت ﻛﺑﯾرة ﻣن ﻋﯾﻧﺎت اﻟﺑرﻣﺟﯾﺎت‬
‫اﻟﺧﺑﯾﺛﺔ‪ .‬ﻋﯾﻧﺎت اﻟﺑراﻣﺞ اﻟﺿﺎرة ھﻲ ﻓﻲ ﻣﻌظﻣﮭﺎ ﻣﺗواﻓﻘﺔ ﻣﻊ ‪ .windows binary executable‬ﯾﺟري ﺗﺣﻠﯾل اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﻣﻊ‬
‫ﻣﺟﻣوﻋﺔ ﻣﺗﻧوﻋﺔ ﻣن اﻷھداف‪ .‬ﻓﯾﻣﺎ ﯾﻠﻲ ھو اﻹﺟراء اﻟﻣﺗﺑﻊ ﻟﺗﺣﻠﯾل اﻟﺑراﻣﺞ اﻟﺿﺎرة ﻹﻋداد ﻣﺧﺗﺑر‪:‬‬
‫‪ -‬ﺗﺛﺑﯾت ﺑرﻧﺎﻣﺞ ‪ VMWare‬أو ‪ Virtual PC‬أو ‪ Oracle VM‬ﻋﻠﻰ اﻟﻧظﺎم‪.‬‬
‫‪ -‬ﺗﺛﺑﯾت ﻧظﺎم اﻟﺗﺷﻐﯾل اﻟﻣﺿﯾف ﻋﻠﻰ‪. Virtual PC/VMWare‬‬
‫‪ -‬ﻋزل ھذا اﻟﻧظﺎم ﻋن اﻟﺷﺑﻛﺔ ﻣن ﺧﻼل ﺿﻣﺎن أن ﺑطﺎﻗﺔ ‪ NIC‬ﻓﻲ اﻟوﺿﻊ "‪."host only‬‬
‫‪ -‬ﺗﻌطﯾل اﻟﻣﺟﻠدات اﻟﻣﺷﺗرﻛﺔ )‪ (shared folders‬وﻋزل اﻟﺿﯾوف)‪. (guest isolation‬‬
‫‪ -‬ﻧﺳﺦ اﻟﺑراﻣﺞ اﻟﺿﺎرة اﻟﻰ ﻧظﺎم اﻟﺗﺷﻐﯾل اﻟﻣﺿﯾف‪.‬‬
‫اﺟراء ﺗﺣﻠﯾل اﻟﺑراﻣﺞ اﻟﺿﺎرة )‪(Malware Analysis Procedure‬‬

‫‪ -‬اﻟﺧطوة ‪ :1‬إﺟراء ﺗﺣﻠﯾل ﺛﺎﺑت )‪ (static analysis‬ﻋﻧدﻣﺎ ﺗﻛون اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﻏﯾر ﻧﺷطﮫ‪.‬‬
‫‪ -‬اﻟﺧطوة ‪ :2‬ﺟﻣﻊ اﻟﻣﻌﻠوﻣﺎت ﺣول‪:‬‬
‫ﻗﯾم ‪ string‬اﻟﺗﻲ وﺟدت ﻓﻲ ‪ binary‬ﻣﻊ ﻣﺳﺎﻋدة ﻣن أدوات اﺳﺗﺧراج ‪ string‬ﻣﺛل ‪.BinText‬‬
‫ﺗﻘﻧﯾﺔ اﻟﺗﻌﺑﺋﺔ واﻟﺿﻐط اﻟﻣﺳﺗﺧدﻣﺔ ﻣﻊ ﻣﺳﺎﻋدة ﻣن أدوات اﻟﺿﻐط وإزاﻟﺔ اﻟﺿﻐط ﻣﺛل‪. UPX‬‬
‫‪BinText‬‬
‫اﻟﻣﺻدر‪http://www.mcafee.com/us‬‬
‫‪ BinText‬ﯾﻣﻛﻧﮫ اﺳﺗﺧراج اﻟﻧص ﻣن أي ﻧوع ﻣن اﻟﻣﻠﻔﺎت‪ ،‬وﺗﺷﻣل اﻟﻘدرة ﻋﻠﻰ اﻟﻌﺛور ﻋﻠﻰ ﻧص ‪ ASCII‬ﻋﺎدي‪ ،‬ﻧص ﯾوﻧﯾﻛود )‪ANSI‬‬
‫ﻣزدوج اﻟﺑﺎﯾت( ‪ ،resource strings ،‬وﺗوﻓﯾر ﻣﻌﻠوﻣﺎت ﻣﻔﯾدة ﻟﻠﻛل ﻋﻧﺻر ﻓﻲ اﻻﺧﺗﯾﺎر "‪ "advanced‬ﻓﻲ وﺿﻊ اﻟﻌرض‪.‬‬
594
UPX
http://upx.sourceforge.net :‫اﻟﻣﺻدر‬
‫ اﻧﮭﺎ ﻋﺎدة أﻓﺿل ﻣن ﺑرﻧﺎﻣﺞ ﺿﻐط‬.‫( وﺳرﯾﻌﺔ ﺟدا ﻓﻲ ﻓك اﻟﺿﻐط‬excellent compression ratio) ‫ ﯾﺣﻘﻖ ﻧﺳﺑﺔ ﺿﻐط ﻣﻣﺗﺎزة‬UPX
.WinZip/zip/gzip

‫‪595‬‬
‫‪ -‬اﻟﺧطوة ‪ :3‬إﻋداد اﺗﺻﺎل اﻟﺷﺑﻛﺔ واﻟﺗﺣﻘﻖ ﻣن أﻧﮫ ﻟن ﯾﻌطﻰ أي أﺧطﺎء‪.‬‬

‫‪ -‬اﻟﺧطوة ‪ :4‬ﺗﺷﻐﯾل اﻟﻔﯾروس ورﺻد اﻟﻌﻣﻠﯾﺎت وﻧظﺎم اﻟﻣﻌﻠوﻣﺎت ﺑﻣﺳﺎﻋدة أدوات ﻟرﺻد اﻟﻌﻣﻠﯾﺎت ﻣﺛل ‪Process Monitor‬‬
‫و‪.Process Explorer‬‬
‫‪Process Monitor‬‬
‫اﻟﻣﺻدر‪http://technet.microsoft.com/en-US :‬‬
‫‪ Process Monitor‬ھو أداة رﺻد وﯾﻧدوز ﻣﺗﻘدﻣﺔ اﻟﺗﻲ ﺗظﮭر ﻧظﺎم اﻟﻣﻠﻔﺎت ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ‪ ،‬و‪ ،registry‬وﻧﺷﺎط ‪.process/thread‬‬
‫‪ -‬اﻟﺧطوة ‪ :5‬ﺗﺳﺟﯾل ﻣﻌﻠوﻣﺎت ﺣرﻛﺔ ﻣرور اﻟﺷﺑﻛﺔ ﺑﺎﺳﺗﺧدام أدوات اﻻﺗﺻﺎل ورﺻد ﻣﺣﺗوى اﻟﺣزﻣﺔ ﻣﺛل ‪NetResident‬‬
‫و‪.TCPView‬‬
‫‪ -‬اﻟﺧطوة ‪ :6‬ﺗﺣدﯾد اﻟﻣﻠﻔﺎت اﻟﻣﺿﺎﻓﺔ‪ ،‬اﻟﻌﻣﻠﯾﺎت اﻟﺗﻲ أﻧﺷﺋت‪ ،‬اﻟﺗﻐﯾﯾرات ﻋﻠﻰ ‪ registry‬ﻣﻊ ﻣﺳﺎﻋدة ﻣن أدوات رﺻد اﻟﺳﺟل ﻣﺛل‬
‫‪Regshot‬‬
‫‪NetResident‬‬
‫اﻟﻣﺻدر‪http://www.tamos.com :‬‬
‫‪ NetResident‬ھو ﺗطﺑﯾﻖ ﻟﺗﺣﻠﯾل ﻣﺣﺗوى اﻟﺷﺑﻛﺔ ﻣﺻﻣم ﻟرﺻد وﺗﺧزﯾن وإﻋﺎدة ﺑﻧﺎء ﻣﺟﻣوﻋﺔ واﺳﻌﺔ ﻣن اﻷﺣداث وأﻧﺷطﺔ اﻟﺷﺑﻛﺔ‪ ،‬ﻣﺛل‬
‫رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ‪ ،‬ﺻﻔﺣﺎت اﻟوﯾب‪ ،‬اﻟﻣﻠﻔﺎت اﻟﺗﻲ ﺗم ﺗﺣﻣﯾﻠﮭﺎ‪ ،‬اﻟرﺳﺎﺋل اﻟﻔورﯾﺔ‪ ،‬واﻟﻣﺣﺎدﺛﺎت ﻋﺑر ﺑروﺗوﻛول اﻹﻧﺗرﻧت‪ .‬ﻓﺈﻧﮫ ﯾﺳﺗﺧدم‬
‫ﺗﻛﻧوﻟوﺟﯾﺎ ﻣراﻗﺑﺔ ﻣﺗﻘدﻣﺔ ﻻﻟﺗﻘﺎط اﻟﺑﯾﺎﻧﺎت ﻋﻠﻰ اﻟﺷﺑﻛﺔ‪ ،‬وﯾﺣﻔظ اﻟﺑﯾﺎﻧﺎت إﻟﻰ ﻗﺎﻋدة ﺑﯾﺎﻧﺎت‪ ،‬ﯾﻌﯾد ذﻟك‪ ،‬وﯾﻌرض اﻟﻣﺣﺗوى‪.‬‬

‫‪596‬‬
‫‪ -‬اﻟﺧطوة ‪ :7‬ﺟﻣﻊ اﻟﻣﻌﻠوﻣﺎت اﻟﺗﺎﻟﯾﺔ ﺑﺎﺳﺗﺧدام أدوات اﻟﺗﺻﺣﯾﺢ )‪(debugging‬ﻣﺛل ‪ ollyDbg‬و‪.ProcDump‬‬

‫‪ ‬طﻠﺑﺎت اﻟﺧدﻣﺔ )‪.(Service requests‬‬
‫‪ ‬ﻣﺣﺎوﻻت اﻻﺗﺻﺎﻻت اﻟواردة واﻟﺻﺎدرة)‪. (Attempts for incoming and outgoing connections‬‬
‫‪ ‬ﻣﻌﻠوﻣﺎت اﻟﺟداول‪. DNS‬‬
‫‪OllyDbg‬‬
‫اﻟﻣﺻدر‪http://www.ollydbg.de :‬‬
‫‪ OllyDbg‬ھو ‪-32‬ﺑت ﻣﺣﻠل اﻟﺗﺻﺣﯾﺢ ﻋﻠﻰ ﻣﺳﺗوى ﻟﻐﺔ اﻟﺗﺟﻣﯾﻊ )‪ (assembler level analyzing debugger‬ﻟﻣﺎﯾﻛروﺳوﻓت‬
‫وﯾﻧدوز‪ .‬ﻟﺗﺣﻠﯾل اﻷﻛواد اﻟﺛﻧﺎﺋﯾﺔ )‪ (binary code‬واﻟﺗﻲ ﯾﺟﻌﻠﮭﺎ ﻣﻔﯾدة ﺑﺷﻛل ﺧﺎص ﻓﻲ اﻟﺣﺎﻻت اﻟﺗﻲ ﯾﻛون ﻓﯾﮭﺎ اﻟﻣﺻدر ﻏﯾر ﻣﺗوﻓر‪.‬‬
‫ﻛﻣﺎ ﻧرى ھذا واﻟﺗﻲ ﺗﻣﺛل اﻟﺷﺎﺷﺔ اﻟرﺋﯾﺳﯾﺔ ﻟﮭذا اﻟﺗطﺑﯾﻖ‪ .‬واﻟﺗﻲ ﯾﻣﻛﻧك ﻣن ﺧﻼﻟﮭﺎ ادﺧﺎل ﻣﻠف اﻟﺑرﻣﺟﯾﺎت اﻟﺿﺎرة اﻟﺗﻲ ﺗرﯾد ﺗﺣﻠﯾﻠﮭﺎ‬ ‫‪-‬‬
‫وذﻟك ﻣن ﺧﻼل اﻟﻧﻘر ﻓوق ‪ File‬اﻟﻣوﺟود ﻓﻲ ﺷرﯾط اﻷدوات اﻟﻌﻠوي ﻧﺎﺣﯾﺔ اﻟﯾﺳﺎر ﺛم اﻟﻧﻘر ﻓوق ‪.Open‬‬
‫ﺑﻌض اﺧﺗﯾﺎر ھذا اﻟﺗﮭدﯾد ﻻﺧﺗﺑﺎره )‪ (tini.exe‬ﻧﺟد ان ﺗﺣﻠﯾل اﻟﺑرﻧﺎﻣﺞ ﻟﮫ ﻛﺎﻻﺗﻰ‪:‬‬ ‫‪-‬‬

‫‪597‬‬
‫ﻣن ﺧﻼل ﺷرﯾط اﻷدوات اﻟﻌﻠوي ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق ‪ View‬ﺛم اﻟﻧﻘر ﻓوق ‪ LOG‬او ﯾﻣﻛﻧﻧﺎ اﺧﺗﺻﺎر ذﻟك ﺑﺎﻟﻧﻘر ﻓﻘوى ﻣﻔﺗﺎﺣﻲ ‪.Alt+L‬‬ ‫‪-‬‬
‫ﺣﯾث ان ھذا ﯾﺳﺗﺧدم ﻟﻌرض ﺑﯾﺎﻧﺎت ‪ log‬ﻟﻠﻣﻠف ‪ tini.exe‬ﻛﺎﻻﺗﻰ‪:‬‬ ‫‪-‬‬
‫ﻣن ﺧﻼل اﻟﻘﺎﺋم اﻟﻣﻧﺳدﻟﺔ ﻣن ‪ VIEW‬ﻓﯾﻣﻛﻧك اﺳﺗﺧدام اﻟﻌدﯾد ﻣن اﻟﺗﻧﺳﯾﻖ ﺣﺗﻰ ﺗﺧﺗﺎر ﻣﻧﮭﺎ ﻣﺎ ﺗرﯾده ﻟرؤﯾﺔ اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﺗرﯾدھﺎ ﻣﺛل‬ ‫‪-‬‬
‫‪ Executable modules‬و ‪ Memory map‬وﻏﯾرھﺎ‪.‬‬
‫‪Virus Analysis Tool: IDA Pro‬‬
‫اﻟﻣﺻدر‪https://www.hex-rays.com/index.shtml :‬‬
‫ھﻲ أداة ‪Dissembler‬و‪ debugger‬اﻟذي ﺗدﻋم ﻛل ﻣن اﻟوﯾﻧدوز واﻟﯾﻧﻛس‪.‬‬
‫‪Dissembler -‬‬
‫‪ Dissembler‬ﯾﻌرض ﺗﻧﻔﯾذ اﻟﺗﻌﻠﯾﻣﺎت ﻟﻠﺑراﻣﺞ اﻟﻣﺧﺗﻠﻔﺔ ﻓﻲ ﺷﻛل رﻣزي‪ ،‬ﺣﺗﻰ إذا ﻛﺎن اﻟرﻣز ﻣﺗﺎح ﻓﻲ اﻟﺷﻛل اﻟﺛﻧﺎﺋﻲ‪ .‬ﯾﻌرض ﺗﻧﻔﯾذ ﺗﻌﻠﯾﻣﺎت‬
‫اﻟﻣﻌﺎﻟﺞ ﻓﻲ ﺷﻛل ﺧراﺋط‪ .‬ﯾﺗﯾﺢ ﻟﻠﻣﺳﺗﺧدﻣﯾن ﻟﺗﺣدﯾد اﻟﻔﯾروﺳﺎت أﯾﺿﺎ‪ .‬ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل‪ ،‬إن وﺟدت أن ‪ screensaver‬أو ﻣﻠﻔﺎت "‪"GIF‬‬
‫ﺗﺣﺎول اﻟﺗﺟﺳس ﻋﻠﻰ أي ﻣن اﻟﺗطﺑﯾﻘﺎت اﻟداﺧﻠﯾﺔ ﻟﻠﻣﺳﺗﺧدم‪ ،‬ﻓﺎن ‪ IDA Pro‬ﯾﻛﺷف ھذا ﻋﻠﻰ اﻟﻔور‪.‬‬
‫‪598‬‬
‫ﺗم ﺗطوﯾر ‪ IDA Pro‬ﻣﻊ أﺣدث اﻟﺗﻘﻧﯾﺎت اﻟﺗﻲ ﺗﻣﻛﻧﮭﺎ ﻣن ﺗﺗﺑﻊ اﻟرﻣوز اﻟﺛﻧﺎﺋﯾﺔ اﻟﺻﻌﺑﺔ ﺛم ﯾﻌرﺿﮭﺎ ﻋﻠﻰ ھﯾﺋﺔ ﺧراﺋط ﺗﻧﻔﯾذﯾﮫ ﻗﺎﺑﻠﮫ ﻟﻠﻘراءة‪.‬‬
‫‪Debugger -‬‬
‫‪ Debugger‬ھو أداة ﺗﻔﺎﻋﻠﯾﺔ واﻟﺗﻲ ﺗﻛﻣل أداة ‪ Dissembler‬ﻷداء ﻣﮭﻣﺔ ﺗﺣﻠﯾل ﺳﺎﻛﻧﺔ )‪ (static analysis‬ﻓﻲ ﺧطوة واﺣدة‪ .‬ﻓﺈﻧﮫ ﯾﺗﺟﺎوز‬
‫ﻋﻣﻠﯾﺔ اﻟﺗﺷوﯾش‪ ،‬ﻣﻣﺎ ﯾﺳﺎﻋد ‪ Dissembler‬ﻋﻠﻰ ﻣﻌﺎﻟﺟﺔ اﻟرﻣوز اﻟﻣﻌﺎدﯾﺔ ﺑﻌﻣﻖ‪.‬‬
‫‪ IDA Pro‬ھﻲ اﻷداة اﻟﺗﻲ ﺗﺳﻣﺢ ﻟك ﻻﺳﺗﻛﺷﺎف أي ﻣن اﻧﻘطﺎﻋﺎت ﻓﻲ اﻟﺑرﻣﺟﯾﺎت وﻧﻘﺎط اﻟﺿﻌف وﯾﺗم اﺳﺗﺧداﻣﮫ ﻛﺎﻧﮫ ﻣﻘﺎوم اﻟﺗﻼﻋب‬
‫)‪ .(tamper resistance‬ھو اداة ﺗﻔﺎﻋﻠﯾﺔ‪ ،‬ﻣﺑرﻣﺟﺔ‪ Dissembler ،‬ﻣﺗﻌدد اﻟﻌﻣﻠﯾﺎت إﻟﻰ ﺟﺎﻧب ‪ Debugger‬ﺳواء ﻣﺣﻠﻲ وﺑﻌﯾدة وﯾﺿﺎف‬
‫اﻟﯾﮭﺎ ﺑﯾﺋﺔ ﻛﺎﻣﻠﺔ ﻣن اﻟﺑرﻣﺟﺔ اﻟﻣﺳﺎﻋد‪ .‬ﯾﻣﻛن أﯾﺿﺎ أن ﺗﺳﺗﺧدم ھذا ﻟﺣﻣﺎﯾﺔ ﺣﻘوق اﻟﺧﺻوﺻﯾﺔ اﻷﺳﺎﺳﯾﺔ اﻟﺧﺎﺻﺔ ﺑك‪ .‬وﯾﺳﺗﺧدم ھذا ﻣن ﻗﺑل‬
‫ﺷرﻛﺎت ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت‪ ،‬وﺷرﻛﺎت اﻷﺑﺣﺎث‪ ،‬وﺷرﻛﺎت ﺗطوﯾر اﻟﺑرﻣﺟﯾﺎت واﻟوﻛﺎﻻت واﻟﻣﻧظﻣﺎت اﻟﻌﺳﻛرﯾﺔ‪.‬‬
‫ﻧﻘوم ﺑﺗﺛﺑﯾت اﻟﺑرﻧﺎﻣﺞ ﻣن ﺧﻼل اﺗﺑﺎع ‪ wizard‬اﻟﺧﺎص ﺑﻌﻣﻠﯾﺔ اﻟﺗﺛﺑﯾت اﻟﻰ ان ﺗظﮭر ﺷﺎﺷﺔ اﻟﺗرﺣﯾب اﻟﺗﺎﻟﯾﺔ واﻟﺗﻲ ﻧﺧﺗﺎر ﻣﻧﮭﺎ ‪new‬‬ ‫‪-‬‬
‫ﻛﺎﻻﺗﻰ‪:‬‬
‫ھذا ﯾؤدى أن ﯾطﻠب ﻣﻧك اﺧﯾﺎر اﻟﺗﮭدﯾد اﻟذي ﺗرﯾد ان ﺗﻘوم ﺑﺗﺣﻠﯾﻠﯾﮫ‪ ،‬ﻓﻧﻘوم ﺑﺗﺣدﯾد ﻣﻛﺎﻧﮫ ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﺑرﻧﺎﻣﺞ‪.‬‬ ‫‪-‬‬
‫ﺛم ﻧﻧﻘر ﻓوق ‪ OK‬وﻧﻔﻌل ذﻟك ﻣﻊ رﺳﺎﺋل ﺗﺣذﯾرﯾﮫ‪.‬‬ ‫‪-‬‬
‫ﺑﻌد اﺧﺗﯾﺎر اﻟﺗﮭدﯾد وﻋرﺿﮫ ﺑواﺳطﺔ اﻟﺗطﺑﯾﻖ ﻓﺎن اﻟﺷﺎﺷﺔ اﻟﻧﮭﺎﺋﯾﺔ ﺑﻌد ﺗﺣﻠﯾل اﻟﺗﮭدﯾد ﺗﻛون ﻛﺎﻻﺗﻰ‪:‬‬ ‫‪-‬‬
‫ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق ‪ View‬اﻟﻣوﺟود ﻓﻲ ﺷرﯾط اﻷدوات اﻟﻌﻠوي ﺛم ﻣن اﻟﻘﺎﺋﻣﺔ اﻟﻣﻧﺳدﻟﺔ ﻣﻧﮫ ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق ‪ Graphs‬ﺛم ‪Flow Chart‬‬ ‫‪-‬‬
‫ﺷﺎﺷﺔ ‪ Graphs‬اﻟﺗﻲ ﻗﻣﻧﺎ ﺑﺎﻟذھﺎب اﻟﯾﮭﺎ ﺳوف ﺗظﮭر ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ‪ :‬ﻗم ﺑﺗﻛﺑﯾر )‪(zoom‬ﻟﺗرى ﺑوﺿوح‪.‬‬ ‫‪-‬‬

‫‪599‬‬
‫ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق ‪ View‬اﻟﻣوﺟود ﻓﻲ ﺷرﯾط اﻷدوات اﻟﻌﻠوي ﺛم ﻣن اﻟﻘﺎﺋﻣﺔ اﻟﻣﻧﺳدﻟﺔ ﻣﻧﮫ ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق ‪ Graphs‬ﺛم ‪Function‬‬ ‫‪-‬‬
‫‪ .call‬واﻟﺗﻲ ﺗؤدى ﺑﺎﻟظﮭور ﺑﺎﻟﺷﻛل اﻟﺗﺎﻟﻲ‪.‬‬
‫ﻧﻘوم ﺑﺎﻟﺗﻛﺑﯾر ﺣﺗﻰ ﯾﺗﺿﺢ اﻟﻣﻌﺎﻟم ﺟدﯾﺎ ﻛﺎﻻﺗﻰ‪:‬‬ ‫‪-‬‬

‫‪600‬‬
‫ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق ‪ Windows‬اﻟﻣوﺟود ﻓﻲ ﺷرﯾط اﻷدوات اﻟﻌﻠوي ﺛم ﻣن اﻟﻘﺎﺋﻣﺔ اﻟﻣﻧﺳدﻟﺔ ﻣﻧﮫ ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق ‪.Hex View-A‬‬ ‫‪-‬‬
‫واﻟﺗﻲ ﺗؤدى ﺑﺎﻟظﮭور ﺑﺎﻟﺷﻛل اﻟﺗﺎﻟﻲ‪:‬‬
‫‪Online Malware Testing: VirusTotal‬‬
‫اﻟﻣﺻدر‪https://www.virustotal.com :‬‬
‫‪VirusTotal‬ھﻲ اﻟﺧدﻣﺔ اﻟﺗﻲ ﺗﺣﻠل اﻟﻣﻠﻔﺎت اﻟﻣﺷﺑوھﺔ وﯾﺳﮭل اﻟﻛﺷف اﻟﺳرﯾﻊ ﻋن اﻟﻔﯾروﺳﺎت واﻟدﯾدان وأﺣﺻﻧﺔ طروادة‪ ،‬وﺟﻣﯾﻊ أﻧواع‬
‫اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ اﻟﻛﺷف ﻋﻧﮭﺎ ﺑواﺳطﺔ ﻣﺣرﻛﺎت ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت‪.‬‬
‫اﻟﻣﯾزات‪:‬‬
‫‪ -‬ﺧدﻣﺔ ﻣﺟﺎﻧﯾﺔ وﻣﺳﺗﻘﻠﺔ‪.‬‬
‫‪ -‬ﯾﺳﺗﺧدم ﻣﺣرﻛﺎت ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻣﺗﻌددة‪.‬‬
‫‪ -‬اﻟﺗﺣدﯾﺛﺎت اﻟﺗﻠﻘﺎﺋﯾﺔ ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ ﻟﺗواﻗﯾﻊ اﻟﻔﯾروﺳﺎت‪.‬‬
‫‪ -‬ﯾﻌطﻲ ﻧﺗﺎﺋﺞ ﻣﻔﺻﻠﺔ ﻣن ﻛل ﻣﺣرك ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت‪.‬‬
‫‪ -‬ﻟدﯾﮭﺎ اﻹﺣﺻﺎءات اﻟﻌﺎﻟﻣﯾﺔ ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ‪.‬‬

‫‪601‬‬
‫‪Online Malware Analysis Services‬‬
‫ﺧدﻣﺎت ﺗﺣﻠﯾل اﻟﺑراﻣﺞ اﻟﺿﺎرة ﻋﻠﻰ اﻻﻧﺗرﻧت ﺗﺳﻣﺢ ﻟك ﺑﻔﺣص اﻟﻣﻠﻔﺎت واﻟﻣوارد وﺗﺄﻣﯾﻧﮭﺎ ﻗﺑل ھﺟوم اﻟﻣﮭﺎﺟﻣﯾن وﺗﻘدﯾم ﺗﻧﺎزﻻت ﻟﮭم‪ .‬وﻓﯾﻣﺎ‬
‫ﯾﻠﻲ ﺑﻌض اﻟﺧدﻣﺎت ﻋﻠﻰ اﻻﻧﺗرﻧت اﻟﺗﻲ ﺗﻘوم ﺑﺗﺣﻠﯾل اﻟﺑراﻣﺞ اﻟﺿﺎرة ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ‪:‬‬
‫‪Anubis: Analyzing Unknown Binaries available at http://anubis.iseclab.org‬‬
‫‪Avast! Online Scanner available at http://onlinescan.avast.com‬‬
‫‪Malware Protection Center available at http://www.microsoft.com/en-in/default.aspx‬‬
‫‪ThreatExpert available at http://www.threatexpert.com‬‬
‫‪Dr. Web Online Scanners available at http://vms.drweb.com‬‬
‫‪Metascan Online available at http://www.metascan-online.com‬‬
‫‪Bitdefender QuickScan available at http://www.bitdefender.com‬‬
‫‪GFI SandBox available at http://www.gfi.com‬‬
‫‪UploadMalware.com available at http://www.uploadmalware.com‬‬
‫‪Fortinet available at http://www.fortiguard.com‬‬
‫‪ 7.5‬اﻟﺘﺪاﺑﯿﺮ اﻟﻤﻀﺎدة )‪(Countermeasures‬‬
‫ﺣﺗﻰ اﻵن‪ ،‬ﻟﻘد ﻧﺎﻗﺷﻧﺎ ﻣﺧﺗﻠف اﻟﻔﯾروﺳﺎت واﻟدﯾدان وﺗﺣﻠﯾل اﻟﺑراﻣﺞ اﻟﺿﺎرة‪ .‬اﻵن ﺳوف ﻧﻧﺎﻗش اﻟﻣﺿﺎدات ﻟﯾﺗم ﺗطﺑﯾﻘﮭﺎ ﻟﻠﺣﻣﺎﯾﺔ ﺿد اﻟﻔﯾروﺳﺎت‬
‫واﻟدﯾدان‪ ،‬وإذا ﺗم اﻟﻌﺛور ﻋﻠﻰ أي ﻣن ھذه‪ .‬وﻣﺎ اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة اﻟﺗﻲ ﺗﺳﺎﻋد ﻓﻲ ﺗﻌزﯾز اﻷﻣن‪ .‬ﯾﺑرز ھذا اﻟﻘﺳم ﻣﺧﺗﻠف اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة ﺿد‬
‫اﻟﻔﯾروﺳﺎت واﻟدودة‪.‬‬
‫طرق اﻟﻛﺷف ﻋن اﻟﻔﯾروﺳﺎت )‪(Virus Detection Methods‬‬

‫اﻟﻔﯾروﺳﺎت ھو ﺟزء ھﺎم ﻣن اﻟﺑراﻣﺞ اﻟﺗﻲ ﺗﻛون ﻣﺛﺑﺗﮫ ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر‪ .‬إذا ﻟم ﯾﻛن ھﻧﺎك ﻓﺎﺣص‪ ،‬إذا ﻓﮭﻧﺎك ﻓرﺻﺔ ﻛﺑﯾرة أن ﯾﻛون اﻟﻧظﺎم‬
‫ﻗد ﺿرب ﻣن ﻗﺑل اﻟﻔﯾروﺳﺎت وﯾﻌﺎﻧون ﻣﻧﮭم‪ .‬ﯾﺟب ﺗﺷﻐﯾل ‪ virus protector‬ﺑﺷﻛل ﻣﻧﺗظم ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر‪ ،‬وﻣﺣرك اﻟﻔﺣص وﻗﺎﻋدة‬
‫ﺑﯾﺎﻧﺎت ﺗواﻗﯾﻊ اﻟﻔﯾروس ﯾﺟب أن ﯾﺗم ﺗﺣدﯾﺛﮭﺎ ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن‪ .‬ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻻ ﺟدوى ﻣﻧﮭﺎ إذا ﻛﺎن ﻻ ﯾﻌرف ﻣﺎ اﻟذي ﺗﺑﺣث‬
‫ﻋﻧﮫ ﻓﻲ أﺣدث اﻟﻔﯾروﺳﺎت‪ .‬ﯾﻧﺑﻐﻲ ﻟﻠﻣرء أن ﯾﺗذﻛر داﺋﻣﺎ أن ﺑرﻧﺎﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻻ ﯾﻣﻛن أن ﺗﺗوﻗف ﻛل ﺷﻲء‪.‬‬
‫ﺑﺣﻛم اﻟﺗﺟرﺑﺔ إذا ﻛﺎن اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﯾﺑدو وﻛﺄﻧﮫ واﺣد ﻣﺷﺑوھﺔ)‪ ، (suspicious one‬ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل‪ ،‬إذا ﻛﺎن أﺣد ﻻ ﯾﺗوﻗﻊ رﺳﺎﻟﺔ ﺑرﯾد‬
‫اﻻﻟﻛﺗروﻧﻲ ﻣن اﻟﻣرﺳل أو ﻻ ﯾﻌرف اﻟﻣرﺳل أو إذا ﻛﺎن رأس اﻟرﺳﺎﻟﺔ ﯾﺷﺑﮫ ﺷﯾﺋﺎ ﺗﻌرف أن اﻟﻣرﺳل ﻟن ﯾﻘوﻟﮫ ﻋﺎدة‪ ،‬ﯾﺟب ﻋﻠﻰ اﻟﻣرء أن ﯾﻛون‬
‫ﺣذرا ﺣول ﻓﺗﺢ اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ‪ ،‬ﻛﻣﺎ ﻗد ﯾﻛون ھﻧﺎك ﺧطر اﻹﺻﺎﺑﺔ ﺑﺎﻟﻌدوى ﻋن طرﯾﻖ ﻓﯾروس‪ .‬اﻟدودة ‪ MyDoom‬و‬
‫‪ W32.Novarg.A@mm‬ﺗﺻﯾب اﻟﻌدﯾد ﻣن ﻣﺳﺗﺧدﻣﻲ اﻹﻧﺗرﻧت ﻓﻲ اﻵوﻧﺔ اﻷﺧﯾرة‪ .‬ھذه اﻟدﯾدان ﺗﺻﯾب ﻣﻌظم اﻟﻣﺳﺗﺧدﻣﯾن ﻣن ﺧﻼل‬
‫اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ‪.‬‬
‫أﻓﺿل اﻟطرق اﻟﺛﻼث اﻷﺗﯾﺔ واﻟﺗﻲ ﺗﺳﺗﺧدم ﻟﻠﻛﺷف ﻋن اﻟﻔﯾروﺳﺎت ھﻲ‪:‬‬

‫‪ -‬ﻓﺣص )‪(scanning‬‬
‫‪ -‬اﻟﺗﺣﻘﻖ ﻣن ﺳﻼﻣﺔ )‪(Integrity checking‬‬
‫‪ -‬اﻋﺗراض )‪(Interception‬‬
‫ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك‪ ،‬ﯾﻣﻛن ﻟﻣزﯾﺞ ﻣن ﺑﻌض ھذه اﻟﺗﻘﻧﯾﺎت أن ﺗﻛون أﻛﺛر ﻓﻌﺎﻟﯾﺔ‪.‬‬
‫اﻟﻔﺤﺺ )‪(scanning‬‬
‫‪ -‬ﻟﺣظﺔ اﻟﻛﺷف ﻋن اﻟﻔﯾروس ﻓﻲ اﻟﺑرﯾﺔ‪ ،‬ﻓﺎن ﺑﺎﺋﻌﻲ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻟﻌﺎﻟم ﯾﺑدأ ﻓﻲ ﻛﺗﺎﺑﺔ ﺑراﻣﺞ اﻟﻔﺣص واﻟﺗﻲ‬
‫ﺗﺑﺣث ﻋن ﺳﻼﺳل اﻟﺗواﻗﯾﻊ )‪) (signature strings‬اﻟﺳﻣﺔ اﻟﻣﻣﯾزة ﻟﻠﻔﯾروس(‪.‬‬
‫‪ -‬ﯾﺗم ﺗﺣدﯾد اﻟﺳﻼﺳل واﺳﺗﺧراﺟﮭﺎ ﻣن اﻟﻔﯾروس ﻋن طرﯾﻖ ﻛﺎﺗﺑﻲ اﻟﻔﺎﺣص ھؤﻻء‪ .‬ﻣﻣﺎ أدى اﻟﻰ وﺟود ﻓﺎﺣص ﺟدﯾد ﯾﺑﺣث ﻋن ﻣﻠﻔﺎت‬
‫اﻟذاﻛرة وﻗطﺎﻋﺎت اﻟﻧظﺎم ﻋن ﺳﻼﺳل اﻟﺗواﻗﯾﻊ اﻟﺧﺎﺻﺔ ﺑﺎﻟﻔﯾروس اﻟﺟدﯾد‪ .‬اﻟﻔﺎﺣص ﯾﻌﻠن وﺟود اﻟﻔﯾروس ﺑﻣﺟرد أن ﯾﺟد ﺳﻼﺳل‬
‫اﻟﺗوﻗﯾﻊ اﻟذي ﯾﺑﺣث ﻋﻧﮫ‪ .‬ﺣﯾث ﯾﻣﻛن اﻟﻛﺷف ﻋن اﻟﻔﯾروﺳﺎت اﻟﻣﻌروﻓﺔ ﻓﻘط‪ ،‬واﻟﻣﺣددة ﺳﺎﺑﻘﺎ‪.‬‬

‫‪602‬‬
‫‪ -‬ﻛﺎﺗﺑﻲ اﻟﻔﯾروﺳﺎت ﻏﺎﻟﺑﺎ ﻣﺎ ﯾﻧﺷﺄ اﻟﻌدﯾد ﻣن اﻟﻔﯾروﺳﺎت اﻟﺟدﯾدة ﻋن طرﯾﻖ ﺗﻐﯾﯾر اﻟﻣوﺟود‪ .‬اﻟﻔﯾروس اﻟﺟدﯾد‪ ،‬ﻗد اﺗﺧذ ﺑﺿﻊ دﻗﺎﺋﻖ ﻓﻘط‬
‫ﻹﻧﺷﺎﺋﮫ‪ .‬اﻟﻣﮭﺎﺟﻣﯾن ﯾﻘوﻣون ﺑﺈﺟراء ﺗﻐﯾﯾرات ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن ﻋﻠﻰ اﻟﻔﯾروﺳﺎت اﻟﻘدﯾﻣﺔ ﻟﻠﺗﺧﻠص ﻣن اﻟﻔﺎﺣص‪.‬‬
‫‪ -‬ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ اﻟﺗﻌرف ﻋﻠﻰ اﻟﺗوﻗﯾﻊ‪ ،‬ﻓﺎن اﻟﻔﺎﺣص اﻟﺟدﯾد ﯾﺳﺗﻔﯾد ﻣن ﻣﺧﺗﻠف ﺗﻘﻧﯾﺎت اﻟﻛﺷف اﻷﺧرى ﻣﺛل ﺗﺣﻠﯾل اﻷﻛواد‪ .‬ﻗﺑل اﻟﻧظر‬
‫اﻟﻰ ﺧﺻﺎﺋص اﻛواد اﻟﻔﯾروس‪ ،‬ﻓﺎن اﻟﻔﺎﺣص ﯾﺧﺗﺑر اﻷﻛواد اﻟﻣوﺟودة ﻓﻲ ﻣواﻗﻊ ﻣﺧﺗﻠﻔﺔ ﻓﻲ اﻟﻣﻠف ﻗﺎﺑل ﻟﻠﺗﻧﻔﯾذ‪.‬‬
‫‪ -‬ﻓﻲ اﺣﺗﻣﺎل آﺧر‪ ،‬اﻟﻔﺎﺣص ﯾﻧﺷﺄ ﺟﮭﺎز ﻛﻣﺑﯾوﺗر وھﻣﻰ )‪ (virtual computer‬ﻓﻲ ذاﻛرة اﻟوﺻول اﻟﻌﺷواﺋﻲ )‪(RAM‬واﺧﺗﺑﺎر‬
‫اﻟﺑراﻣﺞ ﻋن طرﯾﻖ ﺗﻧﻔﯾذھﺎ ﻓﻲ اﻟﻔﺿﺎء اﻟوھﻣﻲ‪ .‬ھذه اﻟﺗﻘﻧﯾﺔ‪ ،‬ﺗدﻋﻰ "‪ ،"heuristic scanning‬ﯾﻣﻛن أﯾﺿﺎ ﻓﺣص اﻟرﺳﺎﺋل‬
‫اﻟﻣﻣﺳوﺣﺔ اﻟﺗﻲ ﻗد ﺗﺣﺗوي ﻋﻠﻰ ﻓﯾروﺳﺎت اﻟﻛﻣﺑﯾوﺗر أو ﻏﯾرھﺎ ﻣن اﻟﻣﺣﺗوﯾﺎت اﻟﻐﯾر ﻣرﻏوب ﻓﯾﮭﺎ‪.‬‬
‫‪ -‬أھم ﻣزاﯾﺎ اﻟﻔﺎﺣص ھﻲ‪) :‬ﯾﻣﻛﻧﮫ أن ﯾﺗﺣﻘﻖ ﻣن اﻟﺑراﻣﺞ ﻗﺑل أن ﯾﺗم إﻋداﻣﮭم ‪-‬أﺳﮭل وﺳﯾﻠﺔ ﻟﻠﺗﺣﻘﻖ ﻣن اﻟﺑراﻣﺞ اﻟﺟدﯾدة ﺿد أي ﻓﯾروس‬
‫ﻣﻌروف أو ﺧﺑﯾث(‪.‬‬
‫‪ -‬اﻟﻌواﺋﻖ اﻟرﺋﯾﺳﯾﺔ ﻟﻠﻔﺎﺣص ھﻲ‪:‬‬
‫‪ ‬اﻟﻔﺎﺣص اﻟﻘدﯾم ﯾﻣﻛن أن ﯾﻛون ﻏﯾر ﻣوﺛوق ﺑﮫ‪ .‬وذﻟك ﻧﺗﯾﺟﺔ اﻟزﯾﺎدة اﻟﮭﺎﺋﻠﺔ ﻓﻲ اﻟﻔﯾروﺳﺎت اﻟﺟدﯾدة واﻟﺗﻲ ﺗﺟﻌل‬
‫ﯾﻣﻛن اﻟﻔﺎﺣص اﻟﻘدﯾم ﺳرﻋﺎن ﻣﺎ ﯾﺻﺑﺢ ﺑﺎﻟﻲ‪ .‬ﻓﻣن اﻷﻓﺿل اﺳﺗﺧدام أﺣدث اﻟﻔواﺣص اﻟﻣﺗﺎﺣﺔ ﻓﻲ اﻟﺳوق‪.‬‬
‫‪ ‬ﺣﺗﻰ اﻟﻔﺎﺣص اﻟﺟدﯾد ﻟن ﯾﺗم ﺗﺟﮭﯾزه أﺑدا ﻟﻛﻲ ﯾﺗﻌﺎﻣل ﻣﻊ ﺟﻣﯾﻊ اﻟﺗﺣدﯾﺎت اﻟﺟدﯾدة‪ ،‬ﻷن اﻟﻔﯾروﺳﺎت ﺗظﮭر‬
‫ﺑﺳرﻋﺔ أﻛﺑر ﻣﻣﺎ ﯾﻣﻛن ﺗطوﯾر ﻓﺎﺣص ﺟدﯾد ﻟﻣﺣﺎرﺑﺔ ذﻟك‪.‬‬
‫اﻟﺘﺤﻘﻖ ﻣﻦ ﺳﻼﻣﺔ )‪(Integrity checking‬‬
‫‪ -‬ﻣﻧﺗﺟﺎت ﻓﺣص اﻟﺳﻼﻣﺔ ﺗؤدى وظﺎﺋﻔﮭﺎ ﻣن ﺧﻼل ﻗراءة وﺗﺳﺟﯾل ﺑﯾﺎﻧﺎت ﻣﺗﻛﺎﻣﻠﺔ ﻟﺗطوﯾر اﻟﺗوﻗﯾﻊ أو ﺧط أﺳﺎﺳﻲ ﻟﺗﻠك اﻟﻣﻠﻔﺎت‬
‫وﻗطﺎﻋﺎت اﻟﻧظﺎم‪.‬‬
‫‪ -‬ﻣﻧﺗﺟﺎت ﻓﺣص اﻟﺳﻼﻣﺔ ﺗﺗﺣﻘﻖ ﻣن أي ﺑرﻧﺎﻣﺞ ﻣدﻣﺞ ﻓﻲ اﻻﺳﺗﺧﺑﺎرات‪ .‬ھذا ھو ﺣﻘﺎ اﻟﺣل اﻟوﺣﯾد اﻟذي ﯾﻣﻛن أن ﯾﺄﺧذ اﻷھﻣﯾﺔ ﺿد‬
‫ﺟﻣﯾﻊ اﻟﺗﮭدﯾدات ﻋﻠﻰ اﻟﺑﯾﺎﻧﺎت‪ .‬ﯾﺗم ﺗوﻓﯾر وﺳﯾﻠﺔ أﻛﺛر ﺛﻘﺔ ﻟﻣﻌرﻓﺔ ﻣﻘدار اﻟﺿرر اﻟذي ﻗﺎم ﺑﮫ اﻟﻔﯾروس ﻋن طرﯾﻖ ﻓﺎﺣص اﻟﺳﻼﻣﺔ‬
‫ھذه‪ ،‬ﻷﻧﮫ ﯾﻣﻛن أن ﯾﺗﺣﻘﻖ ﻣن اﻟﺑﯾﺎﻧﺎت ﻋﻠﻰ أﺳﺎس ﺧط اﻷﺳﺎس اﻟذي أﻧﺷﺋت ﻟﮫ أﺻﻼ‪.‬‬
‫‪ -‬اﻟﻌﯾب ﻣن اﻟﻣدﻗﻖ اﻟﺳﻼﻣﺔ اﻷﺳﺎﺳﯾﺔ ھو أﻧﮫ ﻻ ﯾﻣﻛن اﻟﺗﻔرﯾﻖ ﺑﯾن ﻣﻠف ﻓﺎﺳد ﻧﺎﺟم ﻋن ﺧﻠل وﻣن ﻣﻠف ﻓﺎﺳد ﻧﺎﺟم ﻋن ﻓﯾروس‪.‬‬
‫‪ -‬ﻣﻊ ذﻟك‪ ،‬ﻓﺎن ھﻧﺎك ﺑﻌض ﻣن ﻣﺣﻘﻖ اﻟﺳﻼﻣﺔ اﻟﻣﺗﻘدﻣﺔ اﻟﻣﺗﺎﺣﺔ اﻟﺗﻲ ھﻲ ﻗﺎدرة ﻋﻠﻰ ﺗﺣﻠﯾل وﺗﺣدﯾد أﻧواع اﻟﺗﻐﯾﯾرات اﻟﺗﻲ ﺗﺣدﺛﮭﺎ‬
‫اﻟﻔﯾروﺳﺎت‪ .‬ھﻧﺎك ﻋدد ﻗﻠﯾل ﻣن ﻣﺣﻘﻖ اﻟﺳﻼﻣﺔ واﻟﺗﻲ ﺗﺟﻣﻊ ﺑﯾن ﺑﻌض ﺗﻘﻧﯾﺎت ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻣﻊ اﻟﺗﺣﻘﻖ ﻣن ﺳﻼﻣﺔ ﻟﺧﻠﻖ ھﺟﯾن‪.‬‬
‫وھذا ﯾﺑﺳط أﯾﺿﺎ ﻋﻣﻠﯾﺔ ﻓﺣص اﻟﻔﯾروس‪.‬‬
‫اﻋﺘﺮاض )‪(Interception‬‬
‫‪ -‬اﻻﺳﺗﺧدام اﻟرﺋﯾﺳﻲ ‪ interception‬ھو ﻟﺗﺷﺗﯾت ﻗﻧﺎﺑل اﻟﻣﻧطﻖ وأﺣﺻﻧﺔ طروادة‪.‬‬
‫‪ Interception -‬ﺗﺳﯾطر ﻋﻠﻰ اﻟطﻠﺑﺎت اﻟﺗﻲ ﺗذھب إﻟﻰ ﻧظﺎم اﻟﺗﺷﻐﯾل ﻟﻠوﺻول إﻟﻰ اﻟﺷﺑﻛﺔ أو ﻣن أﺟل ﺑﻌض اﻹﺟراءات واﻟﺗﻲ‬
‫ﺗﺳﺑب ﺧطرا ﻋﻠﻰ اﻟﺑرﻧﺎﻣﺞ‪ .‬إذا وﺟد ﻣﺛل ھذا اﻟطﻠب‪ ،‬ﻓﺎن ‪ interception‬ﻋﺎدة ﻣﺎ ﯾﻌطﻰ ﺗﻧﺑﯾﮭﺎ ﺑذﻟك وﯾﺳﺄل اﻟﻣﺳﺗﺧدم إذا ﻛﺎن ﯾرﯾد‬
‫ﻟﮭذا اﻟطﻠب اﻟﻣﺗﺎﺑﻌﺔ أم ﻻ‪ .‬ﻻ ﺗوﺟد طرق ﯾﻣﻛن اﻻﻋﺗﻣﺎد ﻋﻠﯾﮭﺎ ﻻﻋﺗراض اﻟﻔروع ﻣﺑﺎﺷرة ﻠ ‪ low-level code‬أو اﻟﺗﻌﻠﯾﻣﺎت‬
‫اﻟﻣﺑﺎﺷرة ﻟﻣدﺧﻼت وﻣﺧرﺟﺎت اﻟﺗﻌﻠﯾﻣﺎت ﺑواﺳطﺔ اﻟﻔﯾروس‪.‬‬
‫ﻓﻲ ﺑﻌض اﻟﺣﺎﻻت‪ ،‬ﻓﺈن اﻟﻔﯾروس ﻗﺎدر ﻋﻠﻰ ﺗﻌطﯾل ﺑرﻧﺎﻣﺞ اﻟرﺻد ﻧﻔﺳﮫ‪ .‬ﺑﺎﻟرﺟوع اﻟﻰ ﺑﺿﻊ ﺳﻧوات اﻟﻰ اﻟوراء ﻓﺎن اﻻﻣر اﺳﺗﻐرق ﺛﻣﺎﻧﯾﺔ‬
‫ﺑﺎﯾت ﻓﻘط ﻣن اﻷﻛواد ﻟﺑرﻧﺎﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت اﻟﻣﺳﺗﺧدﻣﺔ ﻋﻠﻰ ﻧطﺎق واﺳﻊ ﻹﯾﻘﺎف ﻣﮭﺎم اﻟرﺻد اﻟﺧﺎﺻﺔ ﺑﮫ‪.‬‬
‫اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة ﺿد اﻟﻔﯾروﺳﺎت واﻟدﯾدان )‪(Virus And Worms Countermeasures‬‬

‫ﯾﻧﺑﻐﻲ اﺗﺑﺎع اﻟﺗداﺑﯾر اﻟوﻗﺎﺋﯾﺔ ﻣن أﺟل اﻟﺗﻘﻠﯾل ﻣن إﻣﻛﺎﻧﯾﺔ اﻟﻌدوى ﺑﺎﻟﻔﯾروس وﻓﻘدان اﻟﺑﯾﺎﻧﺎت‪ .‬ﻓﻲ ﺣﺎﻟﺔ اﻻﻟﺗزام ﺑﻘواﻋد وإﺟراءات ﻣﻌﯾﻧﺔ‪ ،‬ﻓﺈن‬
‫إﻣﻛﺎﻧﯾﺔ اﻟوﻗوع ﺿﺣﯾﺔ ﻟﻔﯾروس ﯾﻣﻛن ﺗﻘﻠﯾﻠﮭﺎ‪ .‬ﺑﻌض ﻣن ھذه اﻷﺳﺎﻟﯾب ﻣﺎ ﯾﻠﻲ‪:‬‬
‫ﺗﺛﺑﯾت ﺑرﻧﺎﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻟﯾﻛﺗﺷف وﯾزﯾل اﻹﺻﺎﺑﺎت اﻟﺗﻲ ﺗظﮭر‪.‬‬ ‫‪-‬‬
‫ﺗوﻟد ﺳﯾﺎﺳﺔ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻟﻠﺣوﺳﺑﺔ آﻣﻧﺔ وﺗوزﯾﻌﮫ ﻋﻠﻰ اﻟﻣوظﻔﯾن‪.‬‬ ‫‪-‬‬
‫إﯾﻼء اﻻھﺗﻣﺎم ﻟﻠﺗﻌﻠﯾﻣﺎت أﺛﻧﺎء ﺗﻧزﯾل اﻟﻣﻠﻔﺎت أو أي ﺑراﻣﺞ ﻣن اﻹﻧﺗرﻧت‪.‬‬ ‫‪-‬‬
‫ﺗﺣدﯾث ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻋﻠﻰ أﺳﺎس ﺷﮭري‪ ،‬ﺑﺣﯾث ﯾﻣﻛن ﺗﺣدﯾد وﺗﻧظﯾف ‪ bugs‬ﺟدﯾدة‪.‬‬ ‫‪-‬‬
‫ﺗﺟﻧب ﻓﺗﺢ اﻟﻣرﻓﻘﺎت اﻟﻣﺳﺗﻠﻣﺔ ﻣن ﻣرﺳل ﻣﺟﮭول ﺣﯾث ﺗﻧﺗﺷر اﻟﻔﯾروﺳﺎت ﻋﺑر ﻣرﻓﻘﺎت اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ‪.‬‬ ‫‪-‬‬
‫ﻋدوى ﻓﯾروس ﯾﻣﻛﻧﮭﺎ أن ﺗﺗﻠف اﻟﺑﯾﺎﻧﺎت‪ ،‬وﺑﺎﻟﺗﺎﻟﻲ ﯾﺟب اﻟﺣﻔﺎظ ﻋﻠﻰ ﺑﯾﺎﻧﺎت اﺣﺗﯾﺎطﯾﺔ ﺑﺎﻧﺗظﺎم‪.‬‬ ‫‪-‬‬
‫ﺟدوﻟﺔ ﻋﻣﻠﯾﺎت اﻟﻔﺣص اﻟﻌﺎدﯾﺔ ﻟﻛﺎﻓﺔ ﻣﺣرﻛﺎت اﻷﻗراص ﺑﻌد ﺗﺛﺑﯾت ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت‪.‬‬ ‫‪-‬‬
‫‪603‬‬
‫ﻻ ﺗﻘﺑل اﻷﻗراص أو اﻟﺑراﻣﺞ دون ﻓﺣﺻﮭﺎ اﻷوﻟﻰ ﺑﺎﺳﺗﺧدام اﻹﺻدار اﻟﺣﺎﻟﻲ ﻣن ﺑرﻧﺎﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت‪.‬‬ ‫‪-‬‬
‫ﺿﻣﺎن اﻟﻣواﻓﻘﺔ ﻋﻠﻰ ارﺳﺎل اﻷﻛواد اﻟﻘﺎﺑﻠﺔ ﻟﻠﺗﻧﻔﯾذ إﻟﻰ اﻟﻣﻧظﻣﺔ‪.‬‬ ‫‪-‬‬
‫ﺗﺷﻐﯾل ‪ ،registry scanner ،disk clean up‬و‪ defragmentation‬ﻣرة واﺣدة ﻓﻲ اﻷﺳﺑوع‪.‬‬ ‫‪-‬‬
‫ﻻ ﺗﺷﻐل اﻟﺟﮭﺎز ﻣن ﻗرص ﺗﻣﮭﯾدي ﻣﺻﺎب‪.‬‬ ‫‪-‬‬
‫ﻗم ﺑﺗﺷﻐﯾل ﺟدار اﻟﺣﻣﺎﯾﺔ إذا ﻛﺎن ﻧظﺎم اﻟﺗﺷﻐﯾل اﻟﻣﺳﺗﺧدم ھو وﯾﻧدوز ‪.XP‬‬ ‫‪-‬‬
‫ﺣﺎﻓظ ﻋﻠﻰ اﻟﻣﻌرﻓﺔ ﺣول أﺣدث ﺗﮭدﯾدات اﻟﻔﯾروﺳﺎت‪.‬‬ ‫‪-‬‬
‫ﺗﺷﻐﯾل ﻣﻛﺎﻓﺣﺔ اﻟﺗﺟﺳس)‪ (anti-spyware‬أو ‪ adware‬ﻣرة واﺣدة ﻓﻲ اﻷﺳﺑوع‪.‬‬ ‫‪-‬‬
‫اﻟﺗﺣﻘﻖ ﻣن ‪ DVDS‬و‪ CD5‬ﻣن اﺻﺎﺑﺗﮭﺎ ﺑﺎﻟﻔﯾروس‪.‬‬ ‫‪-‬‬
‫ﻣﻧﻊ اﻟﻣﻠﻔﺎت ذات أﻛﺛر ﻣن ﻧوع ﻣن اﻣﺗداد اﻟﻣﻠف‪.‬‬ ‫‪-‬‬
‫ﺿﻣﺎن ﺗﺷﻐﯾل ﺣظر اﻹطﺎرات اﻟﻣﻧﺑﺛﻘﺔ )‪ (pop-up blocker‬واﺳﺗﺧدام ﺟدار اﻟﺣﻣﺎﯾﺔ‪.‬‬ ‫‪-‬‬
‫ﻛن ﺣذرا ﻣﻊ اﻟﻣﻠﻔﺎت اﻟﺗﻲ ﯾﺗم إرﺳﺎﻟﮭﺎ ﻋﺑر اﻟرﺳﺎﺋل اﻟﻔورﯾﺔ‪.‬‬ ‫‪-‬‬
‫‪Companion Antivirus: Immunet‬‬
‫اﻟﻣﺻدر‪http://www.immunet.com/main/index.html :‬‬
‫‪ Companion Antivirus‬ﯾﻌﻧﻲ أن ‪ Immunet‬ﻣﺗواﻓﻖ ﻣﻊ ﺣﻠول اﻟﺣﻣﺎﯾﺔ ﻣن اﻟﻔﯾروﺳﺎت اﻟﻣوﺟودة‪Immunet .‬ﯾﺿﯾف‪ ،‬طﺑﻘﺔ إﺿﺎﻓﯾﺔ‬
‫ﻣن اﻟﺣﻣﺎﯾﺔ ﺧﻔﯾﻔﺔ اﻟوزن ﻣن أﺟل أﻛﺑر ﻗطﻌﮫ ﻣن اﻟﻌﻘل‪ .‬ﻣﻧذ أﺻﺑﺣت ﺣﻠول ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت اﻟﺗﻘﻠﯾدﯾﺔ ﺗﻛﺷف ﺑﺎﻟﻣﺗوﺳط ‪ ٪50‬ﻓﻘط ﻣن‬
‫اﻟﺗﮭدﯾدات ﻋﻠﻰ اﻹﻧﺗرﻧت‪ ،‬ﻓﺎن ﻣﻌظم اﻟﻣﺳﺗﺧدﻣﯾن ھم ﺗﺣت ﺣﻣﺎﯾﺗﮭﺎ‪ ،‬وھذا ھو اﻟﺳﺑب ﻓﻲ ان ﻛل ﺟﮭﺎز ﻛﻣﺑﯾوﺗر ﯾﻣﻛن أن ﯾﺳﺗﻔﯾد ﻣن طﺑﻘﺔ‬
‫‪ Immunet‬اﻷﺳﺎﺳﯾﺔ ﻟﻸﻣن‪.‬‬
‫‪ Immunet‬ﯾﺣﻣﻲ ﻗوة اﻟﻛﺷف ‪ ETHOS‬و‪ heuristics-based engine ،SPERO‬و‪ .cloud engine‬ﻣﺳﺗﺧدﻣﻲ اﻟﻧﺳﺧﺔ اﻟزاﺋدة‬
‫ﯾﺳﺗﻔﺎدوا ﻣن ﻣﺣرك ﺛﺎﻟث ﯾﺳﻣﻰ ‪ ،TETRA‬واﻟذي ﯾوﻓر اﻟﺣﻣﺎﯾﺔ ﻋﻧدﻣﺎ ﻻ ﺗﻛون ﻣﺗﺻﻼ ﺑﺎﻹﻧﺗرﻧت‪.‬‬
‫أدوات ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت‬

‫أدوات ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﺗﻣﻧﻊ وﺗﻛﺷف وﺗزﯾل اﻟﻔﯾروﺳﺎت واﻷﻛواد اﻟﺧﺑﯾﺛﺔ اﻷﺧرى ﻣن اﻟﻧظﺎم اﻟﺧﺎص ﺑك‪ .‬ھذه اﻷدوات ﺗﻘوم ﺑﺣﻣﺎﯾﺔ اﻟﻧظﺎم‬
‫اﻟﺧﺎص ﺑك وإﺻﻼح اﻟﻔﯾروﺳﺎت ﻓﻲ ﺟﻣﯾﻊ رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟواردة واﻟﺻﺎدرة وﻣرﻓﻘﺎت اﻟرﺳﺎﺋل اﻟﻔورﯾﺔ‪ .‬ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك‪ ،‬ھذه‬
‫اﻷدوات ﺗﻘوم ﺑﻣراﻗﺑﺔ ﺣرﻛﺔ ﻣرور اﻟﺷﺑﻛﺔ ﻟﻸﻧﺷطﺔ اﻟﺧﺑﯾﺛﺔ‪ .‬وﻓﯾﻣﺎ ﯾﻠﻲ ﺑﻌض أدوات ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت اﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﻐرض اﻟﻛﺷف‬
‫وﻗﺗل اﻟﻔﯾروﺳﺎت ﻓﻲ اﻟﻧظم ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ‪:‬‬

‫‪604‬‬
‫‪AVG Antivirus available at http://free.avg.com‬‬

‫‪BitDefender available at http://www.bitdefender.com‬‬
‫‪Kaspersky Anti-Virus available at http://www.kaspersky.com‬‬
‫‪Trend Micro Internet Security Pro available at http://apac.trendmicro.com‬‬
‫‪Norton Anti-Virus available at http://www.symantec.com‬‬
‫‪F-Secure Anti-Virus available at http://www.f-secure.com‬‬
‫‪Avast Pro Antivirus available at http://www.avast.com‬‬
‫‪McAfee Anti-Virus Plus 2013 available at http://home.mcafee.com‬‬
‫‪ESET Smart Security 5 available at http://www.eset.com‬‬
‫‪Total Defense Internet Security Suite available at http://www.totaldefense.com‬‬
‫‪ 7.6‬ﻣﺨﺘﺒﺮي اﻻﺧﺘﺮاق )‪(PENETRATION TEST‬‬
‫ﯾﺟب إﺟراء اﺧﺗﺑﺎر اﻻﺧﺗراق ﺿد اﻟﻔﯾروﺳﺎت واﻟدﯾدان‪ ،‬ﻷﻧﮭﺎ ھﻲ اﻟوﺳﯾﻠﺔ اﻷﻛﺛر اﺳﺗﺧداﻣﺎ ﻋﻠﻰ ﻧطﺎق واﺳﻊ ﻟﻠﮭﺟوم‪ .‬أﻧﮭﺎ ﻻ ﺗﺗطﻠب ﻣﻌرﻓﺔ‬
‫واﺳﻌﺔ ﻟﻼﺳﺗﺧدام‪ .‬وﺑﺎﻟﺗﺎﻟﻲ‪ ،‬ﯾﺟب إﺟراء اﺧﺗﺑﺎر اﻻﺧﺗراق ﻋﻠﻰ اﻟﻧظﺎم اﻟﺧﺎص ﺑك أو اﻟﺷﺑﻛﺔ ﻗﺑل ان ﯾﺳﺗﻐﻠﮭﺎ اﻟﻣﮭﺎﺟم اﻟﺣﻘﯾﻘﻲ‪.‬‬
‫ﯾوﻓر ھذا اﻟﻘﺳم ﻧظرة ﺛﺎﻗﺑﺔ ﻋﻠﻰ اﺧﺗﺑﺎر اﻻﺧﺗراق ﺿد اﻟﻔﯾروﺳﺎت واﻟدودة‪.‬‬
‫ﻣﻧذ أن اﺻﺑﺣت ھﺎﻛر أﺧﻼﻗﻲ وﺧﺑﯾر ﻓﻲ أداء اﺧﺗﺑﺎر اﻻﺧﺗراق‪ ،‬ﺣﯾث ﯾﻛﻠﻔك ﻣدﯾر ﺗﻛﻧوﻟوﺟﯾﺎ اﻟﻣﻌﻠوﻣﺎت ﻻﺧﺗﺑﺎر اﻟﺷﺑﻛﺔ ﺿد أي ﻣن‬
‫اﻟﻔﯾروﺳﺎت واﻟدﯾدان اﻟﺗﻲ ﯾﻣﻛن أن ﺗﺗﻠف أو ﺗﺳرق ﻣﻌﻠوﻣﺎت اﻟﻣﻧظﻣﺔ‪ .‬ﺗﺣﺗﺎج ﻟﺑﻧﺎء اﻟﻔﯾروﺳﺎت واﻟدﯾدان ﺛم ﺗﺣﺎول ﺿﺧﮭﺎ ﻓﻲ ﺷﺑﻛﺔ وھﻣﯾﺔ‬
‫)اﻟﺟﮭﺎز اﻟوھﻣﻲ( وﺗﺗﺣﻘﻖ ﻣﺎ إذا ﻛﺎن ﯾﺗم اﻟﻛﺷف ﻋﻧﮭﺎ ﻣن ﻗﺑل ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت أو ﻗﺎدرة ﻋﻠﻰ ﺗﺟﺎوز ﺟدار ﺣﻣﺎﯾﺔ اﻟﺷﺑﻛﺔ‪ .‬ﺑﻣﺛﺎﺑﺔ إﻧك‬
‫ﻣﺧﺗﺑر اﺧﺗراق‪ ،‬ﯾﺟب ﺗﻧﻔﯾذ اﻟﺧطوات اﻟﺗﺎﻟﯾﺔ ﻹﺟراء اﺧﺗﺑﺎر اﻻﺧﺗراق ﺿد اﻟﻔﯾروﺳﺎت‪:‬‬
‫اﻟﺨﻄﻮة ‪ :1‬ﺗﺜﺒﯿﺖ ﺑﺮﻧﺎﻣﺞ ﻣﻜﺎﻓﺤﺔ اﻟﻔﯿﺮوﺳﺎت‬
‫ﯾﺟب ﺗﺛﺑﯾت ﺑرﻧﺎﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻋﻠﻰ اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﻟﻠﺷﺑﻛﺔ وﻋﻠﻰ اﻟﻧظﺎم ﻟﻠﻣﺳﺗﺧدم اﻟﻧﮭﺎﺋﻲ ﻗﺑل إﺟراء اﺧﺗﺑﺎر اﻻﺧﺗراق‪.‬‬
‫اﻟﺨﻄﻮة ‪ :2‬ﺗﺤﺪﯾﺚ ﺑﺮاﻣﺞ ﻣﻜﺎﻓﺤﺔ اﻟﻔﯿﺮوﺳﺎت‬
‫ﺗﺣﻘﻖ ﻣﺎ إذا ﻛﺎن ﯾﺗم ﺗﺣدﯾث ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت اﻟﺧﺎص ﺑك أم ﻻ‪ .‬إن ﻟم ﯾﻛن ﻓﻘم ﺑﺗﺣدﯾث ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت‪.‬‬
‫اﻟﺨﻄﻮة ‪ :3‬ﻓﺤﺺ اﻟﻨﻈﺎم ﺑﺤﺜﺎ ﻋﻦ اﻟﻔﯿﺮوﺳﺎت‬
‫ﯾﺟب أن ﺗﺣﺎول ﻓﺣص اﻟﻧظﺎم اﻟﺗﻲ ﺗﺳﺗﮭدﻓﮫ؛ ھذا ﺳوف ﯾﺳﺎﻋدك ﻋﻠﻰ إﺻﻼح اﻟﺿرر أو ﺣذف اﻟﻣﻠﻔﺎت اﻟﻣﺻﺎﺑﺔ ﺑﺎﻟﻔﯾروﺳﺎت‪.‬‬
‫اﻟﺨﻄﻮة ‪ :4‬ﺗﻌﯿﯿﻦ ﻣﻜﺎﻓﺤﺔ اﻟﻔﯿﺮوﺳﺎت ﻟﻌﺰل أو ﺣﺬف اﻟﻔﯿﺮوس‬
‫إﻋداد ﺑرﻧﺎﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت اﻟﺧﺎص ﺑك ﻟﻣﻘﺎرﻧﺔ ﻣﺣﺗوﯾﺎت اﻟﻣﻠف ﻣﻊ ﺗوﻗﯾﻌﺎت ﻓﯾروس اﻟﻛﻣﺑﯾوﺗر اﻟﻣﻌروف‪ ،‬وﺗﺣدﯾد اﻟﻣﻠﻔﺎت اﻟﻣﺻﺎﺑﺔ‪،‬‬
‫واﻟﺣﺟر اﻟﺻﺣﻲ وإﺻﻼﺣﮭم إذا ﻛﺎن ذﻟك ﻣﻣﻛﻧﺎ‪ ،‬أو ﺣذﻓﮭﺎ إن ﻟم ﯾﻛن‪.‬‬
‫اﻟﺨﻄﻮة ‪ :5‬اﻟﺬھﺎب إﻟﻰ اﻟﻮﺿﻊ اﻵﻣﻦ )‪ (safe mode‬وﺣﺬف اﻟﻤﻠﻒ اﻟﻤﺼﺎﺑﺔ ﯾﺪوﯾﺎ‬
‫إذا ﻟم ﯾﺗم إزاﻟﺔ اﻟﻔﯾروس‪ ،‬ﻓﺎﻧﺗﻘل إﻟﻰ اﻟوﺿﻊ اﻵﻣن )‪ (safe mode‬وﻗم ﺑﺣذف اﻟﻣﻠف اﻟﻣﺻﺎب ﯾدوﯾﺎ‪.‬‬
‫اﻟﺨﻄﻮة ‪ :6‬ﻓﺤﺺ اﻟﻨﻈﺎم ﻋﻦ اﻟﻌﻤﻠﯿﺎت اﻟﺠﺎرﯾﺔ‬
‫ﯾﺟب ﻓﺣص اﻟﻧظﺎم اﻟﺧﺎص ﺑك ﺿد أي ﻋﻣﻠﯾﺔ ﻣﺷﺑوھﺔ ﺗم ﺗﺷﻐﯾﻠﮭﺎ‪ .‬ﯾﻣﻛﻧك اﻟﻘﯾﺎم ﺑذﻟك ﺑﺎﺳﺗﺧدام أدوات ﻣﺛل ‪،What's Running‬‬
‫‪ ،HijackThis‬اﻟﺦ‪.‬‬
‫اﻟﺨﻄﻮة ‪ :7‬ﺗﻔﺤﺺ اﻟﻨﻈﺎم ﻋﻦ إدﺧﺎﻻت ‪ registry‬اﻟﻤﺸﺒﻮھﺔ‪.‬‬
‫ﯾﺟب ﻓﺣص اﻟﻧظﺎم اﻟﺧﺎص ﺑك ﻋن إدﺧﺎﻻت ‪ registry‬اﻟﻣﺷﺑوھﺔ‪ .‬ﯾﻣﻛﻧك اﻟﻘﯾﺎم ﺑذﻟك ﺑﺎﺳﺗﺧدام أدوات ﻣﺛل ‪JV Power Tools‬‬
‫و‪.Regshot‬‬
‫اﻟﺨﻄﻮة ‪ :8‬ﺗﻔﺤﺺ اﻟﻨﻈﺎم ﻋﻦ ﺧﺪﻣﺎت اﻟﻮﯾﻨﺪوز اﻟﻤﺸﺒﻮھﺔ‬
‫ﯾﺟب ﻓﺣص ﺧدﻣﺎت اﻟوﯾﻧدوز اﻟﻣﺷﺑوھﺔ اﻟﺗﻲ ﺗﻌﻣل ﻋﻠﻰ اﻟﻧظﺎم اﻟﺧﺎص ﺑك‪ .‬ﯾﻣﻛﻧك اﻟﻘﯾﺎم ﺑذﻟك ﺑﺎﺳﺗﺧدام أدوات ﻣﺛل ‪SrvMan‬‬
‫و‪.ServiWin‬‬

‫‪605‬‬
‫اﻟﺨﻄﻮة ‪ :9‬ﻓﺤﺺ اﻟﻨﻈﺎم ﻋﻦ ﺑﺮاﻣﺞ ﺑﺪء اﻟﺘﺸﻐﯿﻞ اﻟﻤﺸﺒﻮھﺔ‬

‫ﯾﺟب ﻓﺣص اﻟﻧظﺎم اﻟﺧﺎص ﺑك ﻋن ﺑراﻣﺞ ﺑدء اﻟﺗﺷﻐﯾل اﻟﻣﺷﺑوھﺔ اﻟﺗﻲ ﺗﻌﻣل ﻋﻠﻰ اﻟﻧظﺎم اﻟﺧﺎص ﺑك‪ .‬ﺑﺎﺳﺗﺧدام أدوات ﻣﺛل ‪،Starter‬‬
‫‪ ،Security AutoRun‬و ‪Autoruns‬ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﻔﺣص ﺑراﻣﺞ ﺑدء اﻟﺗﺷﻐﯾل‪.‬‬
‫اﻟﺨﻄﻮة ‪ :10‬ﻓﺤﺺ اﻟﻨﻈﺎم ﻋﻦ ﺳﻼﻣﺔ اﻟﻤﻠﻔﺎت واﻟﻤﺠﻠﺪات‬
‫ﻋﻠﯾك أن ﺗﻔﺣص اﻟﻧظﺎم اﻟﺧﺎص ﻟﻠﺗﺣﻘﻖ ﻣن ﺳﻼﻣﺔ اﻟﻣﻠﻔﺎت واﻟﻣﺟﻠدات‪ .‬ﯾﻣﻛﻧك اﻟﻘﯾﺎم ﺑذﻟك ﺑﺎﺳﺗﺧدام أدوات ﻣﺛل ‪،TRIPWIRE ،FCIV‬‬
‫و‪.SIGVERIF‬‬
‫اﻟﺨﻄﻮة ‪ :11‬ﻓﺤﺺ اﻟﻨﻈﺎم ﻋﻦ ﺗﻌﺪﯾﻼت ﻧﻈﺎم اﻟﺘﺸﻐﯿﻞ اﻟﺤﺮﺟﺔ‬
‫ﯾﻣﻛﻧك ﻓﺣص اﻟﺗﻌدﯾﻼت أو اﻟﺗﻼﻋب ﺑﻣﻠﻔﺎت ﻧظﺎم اﻟﺗﺷﻐﯾل اﻟﺣرﺟﺔ ﺑﺎﺳﺗﺧدام أدوات ﻣﺛل ‪ TRIPWIRE‬أو ﻣﻘﺎرﻧﺔ ﻗﯾم اﻟﮭﺎش ﯾدوﯾﺎ إذا ﻛﺎن‬
‫ﻟدﯾك ﻧﺳﺧﺔ اﺣﺗﯾﺎطﯾﺔ‪.‬‬
‫اﻟﺨﻄﻮة ‪ :12‬وﺛﯿﻘﺔ ﻋﻦ اﻟﻨﺘﺎﺋﺞ‬
‫ﯾﻣﻛن ﻟﮭذه اﻟﻧﺗﺎﺋﺞ أن ﺗﺳﺎﻋدك ﻋﻠﻰ ﺗﺣدﯾد اﻹﺟراء اﻟﺗﺎﻟﻲ إذا ﺗم ﺗﺣدﯾد اﻟﻔﯾروﺳﺎت ﻋﻠﻰ اﻟﻧظﺎم‪.‬‬
‫اﻟﺨﻄﻮة ‪ :13‬ﻋﺰل اﻟﻨﻈﺎم اﻟﻤﺼﺎب‬
‫ﺑﻣﺟرد أن ﯾﺗم ﺗﺣدﯾد اﻟﻧظﺎم اﻟﻣﺻﺎب‪ ،‬ﻓﯾﺟب ﻋزل اﻟﻧظﺎم اﻟﻣﺻﺎب ﻋن اﻟﺷﺑﻛﺔ ﻓورا ﻣن أﺟل ﻣﻧﻊ اﻟﻣزﯾد ﻣن اﻹﺻﺎﺑﺔ‪.‬‬
‫اﻟﺨﻄﻮة ‪ :14‬ﺗﻄﮭﯿﺮ اﻟﻨﻈﺎم اﻟﻤﺼﺎﺑﺔ ﺑﺄﻛﻤﻠﮫ‬
‫ﯾﺟب إزاﻟﺔ اﻟﻌدوى ﺑﺎﻟﻔﯾروس ﻣن اﻟﻧظﺎم اﻟﺧﺎص ﺑك ﺑﺎﺳﺗﺧدام أﺣدث ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت اﻟﻣﺣدﺛﺔ‪.‬‬
‫اﻟﺣﻣد � ﺗﻌﺎﻟﻰ‪ ،‬وﺑﺣول ﷲ ﺗﻌﺎﻟﻰ ﻧﻛون ﻗد اﻧﺗﮭﯾﻧﺎ ﻣن اﻟوﺣدة اﻟﺳﺎدﺳﺔ وﻧﻠﻘﺎﻛم ﻣﻊ اﻟوﺣدة اﻟﺗﺎﻟﯾﺔ‪:‬‬
‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬

Viruses and Worms

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Viruses and Worms

Uploaded by

Copyright:

Available Formats

7

Dr.Mohammed Sobhy Teba

563 ..... ................................................................................................................................................................‫ﻣﻘدﻣﮫ ﻋن اﻟﻔﯾروﺳﺎت‬

564 .. ................................................................................................(Virus and Worm Statistics) ‫اﻻﺣﺻﺎﺋﯾﺎت ﻋن اﻟﻔﯾروﺳﺎت واﻟدﯾدان‬

564 .... ................................................................................................................................(Stage of Virus Life) ‫دورة ﺣﯾﺎة اﻟﻔﯾروس‬

567 .... ................................................................................................................................‫ﻟﻣﺎذا ﯾﻠﺟﺎ اﻟﻧﺎس اﻟﻰ إﻧﺷﺎء ﻓﯾروﺳﺎت اﻟﻛﻣﺑﯾوﺗر؟‬

567 .................... ................................................................................................................................ ‫اﻟﻣؤﺷرات ﻋﻠﻰ ھﺟﻣﺎت اﻟﻔﯾروﺳﺎت‬

568 .... ................................................................................................................................ ‫ﻛﯾف ﯾﺻﺑﺢ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر ﻣﺻﺎﺑﺎ ﺑﺎﻟﻔﯾروﺳﺎت؟‬

568 ..... ................................................................................................................................Virus Hoaxes and Fake Antiviruses

570 ............... ................................................................................................................................Virus Analysis: DNSChanger

571 ................ ................................................................................................................................ (Type of Viruses) ‫ أﻧواع اﻟﻔﯾروﺳﺎت‬7.2

571 ............. ................................................................................................................................(Type of Viruses) ‫أﻧواع اﻟﻔﯾروﺳﺎت‬

574 ........................................................................................................................(System/Boot Sector Virus) ‫ﻓﯾروﺳﺎت ﻗطﺎع اﻟﺗﺷﻐﯾل‬

575 ................. ................................................................................................................................(Virus Removal) ‫إزاﻟﺔ اﻟﻔﯾروس‬

575 ................... ................................................................................................................................ File and Multipartite Viruses

576 .................. ................................................................................................................................(Macro Viruses) ‫ﻓﯾروﺳﺎت اﻟﻣﺎﻛرو‬

577 ............ ................................................................................................................................ (Cluster Viruses) ‫اﻟﻔﯾروﺳﺎت اﻟﻌﻧﻘودﯾﺔ‬

577 ........................................................................................................................................................ Stealth/Tunneling Viruses

578 ........... ................................................................................................................................(Encryption Viruses) ‫اﻟﻔﯾروس اﻟﻣﺷﻔر‬

578 . ................................................................................................................................ (Polymorphic Viruses) ‫ﻓﯾروس ﻣﺗﻌدد اﻻﺷﻛﺎل‬

579 . ................................................................................................................................:(Metamorphic Viruses) ‫اﻟﻔﯾروﺳﺎت اﻟﻣﺗﺣوﻟﺔ‬

580 ......... ................................................................................................................................ File Overwriting or Cavity Viruses

580 .............................................................................................................................................................Sparse Infector Viruses

581 ............. ................................................................................................................................ Companion/Camouflage Viruses

581 .............. ................................................................................................................................................................ Shell Viruses

582 ...............................................................................................................................................................File Extension Viruses

582 .................. ................................................................................................................................ Add-on and Intrusive Viruses

https://www.facebook.com/tibea2004 ‫ ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬.‫د‬

584 ...............................................................................................................................................................TeraBIT Virus Maker

586 ...... ................................................................................................................................................................Computer Worms 7.3

586 .......... ................................................................................................................................ (Computer Worms) ‫دﯾدان اﻟﻛﻣﺑﯾوﺗر‬

587 ...........................................................................................................................................................Worm Analysis: Stuxnet

592 ......................................................................................................................... Worm Maker: Internet Worm Maker Thing

592 ..... ................................................................................................................................................................ Malware Analysis 7.4

592 ......... ................................................................................................................................ What Is a Sheep Dip Computer?

593 ....... ................................................................................................ (Antivirus Sensor Systems)‫أﻧظﻣﺔ اﺳﺗﺷﻌﺎر ﻣﻛﺎﻓﺢ اﻟﻔﯾروﺳﺎت‬

593 ........ ................................................................................................(Malware Analysis Procedure) ‫اﺟراء ﺗﺣﻠﯾل اﻟﺑراﻣﺞ اﻟﺿﺎرة‬

597 .................. ................................................................................................................................ Virus Analysis Tool: IDA Pro

600 ...... ................................................................................................................................ Online Malware Testing: VirusTotal

601 ........... ................................................................................................................................Online Malware Analysis Services

601 ............... ................................................................................................................................ (Countermeasures) ‫ اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة‬7.5

601 .............. ................................................................................................ (Virus Detection Methods) ‫طرق اﻟﻛﺷف ﻋن اﻟﻔﯾروﺳﺎت‬

603 .............. ................................................................................................................................Companion Antivirus: Immunet

603 ................................................................................................................................................................ ‫أدوات ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت‬

604 ................ ................................................................................................................................ (penetration test) ‫ ﻣﺧﺗﺑري اﻻﺧﺗراق‬7.6

https://www.facebook.com/tibea2004 ‫ ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬.‫د‬

‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬

‫اﻻﺣﺻﺎﺋﯾﺎت ﻋن اﻟﻔﯾروﺳﺎت واﻟدﯾدان )‪(Virus and Worm Statistics‬‬

‫دورة ﺣﯾﺎة اﻟﻔﯾروس )‪(Stage of Virus Life‬‬

‫‪Working of Viruses: Infection Phase‬‬ ‫طرﯾﻘﺔ ﻋﻣل اﻟﻔﯾروﺳﺎت‪ :‬ﻣرﺣﻠﺔ اﻟﻌدوى‬

‫‪ -‬ﺗﺑدأ ذاﺗﯾﺎ )‪(Self-start‬‬

‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬

‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬

‫ﻟﻣﺎذا ﯾﻠﺟﺎ اﻟﻧﺎس اﻟﻰ إﻧﺷﺎء ﻓﯾروﺳﺎت اﻟﻛﻣﺑﯾوﺗر؟‬

‫اﻟﻣؤﺷرات ﻋﻠﻰ ھﺟﻣﺎت اﻟﻔﯾروﺳﺎت‬

‫اﻟﺑراﻣﺞ ﺗﺳﺗﻐرق وﻗﺗﺎ أطول ﻟﻠﺗﺣﻣﯾل‪.‬‬ ‫‪-‬‬

‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬

‫ﻛﯾف ﯾﺻﺑﺢ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر ﻣﺻﺎﺑﺎ ﺑﺎﻟﻔﯾروﺳﺎت؟‬

‫‪Virus Hoaxes and Fake Antiviruses‬‬

‫‪https://www.facebook.com/tibea2004‬‬ ‫د‪ .‬ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ‬

‫‪Virus Analysis: DNSChanger‬‬

‫‪ 7.2‬أﻧﻮاع اﻟﻔﯿﺮوﺳﺎت )‪(Type of Viruses‬‬

‫أﻧواع اﻟﻔﯾروﺳﺎت )‪(Type of Viruses‬‬