أحذر عودة كابوس CIH المدمر يومي 26 أبريل الحالي و19 مايو القادم

فيريكا تثير الرعب في إيطاليا

رفعت شركات مكافحة الفيروسات درجة استعدادها الى الحالة القصوى على شبكة الانترنت تحسبا لانتشار فيروس الذاكرة الشهير CIH الذي اشتهر خطأ باسم تشرنوبيل وهو مصنف ضمن قائمة الفيروسات عالية الخطورة خاصة انه يصيب اجهزة الكمبيوتر بالشلل التام ويقوم بتدمير جميع البيانات الموجودة على القرص الصلب.
وكانت شركات المكافحة قد تلقت بلاغات بالعثور على جيل جديد من الفيروس يحمل اسم PE- CIH.1122 في الفلبين وتم توقيته لينشط تلقائياً في 19 مايو المقبل كما ابلغت احدى الشركات الأمريكية العاملة في مجال تجارة العاب الكمبيوتر انها عثرت على نسخة من الفيروس في احد اجهزة الخدمة الخاصة بها وتحمل النسخة اسم WIN32.CIH.1.5 وتم توقيتها لتنشط تلقائيا في 26 ابريل الحالي ويبدو ان النسختين تم اعدادهما للاطلاق في الذكرى الرابعة لظهور الفيروس لأول مرة بتايوان في ابريل 1998 وحذر خبراء الكمبيوتر من الفحص الذي تم اجراؤه على النسخة التي تم العثور عليها في الولايات المتحدة اثبت ادخال عدة تعديلات على الشفرة الاصلية للفيروس بحيث يصيب الاصدارات الجديدة من انظمة تشغيل ويندوز وعلى رأسها 2000 و ME بعد ان كان خطره مقصورا على نظامي ويندوز 95 و98 وهو يحمل كل الصفات التدميرية التي ظهرت في الجيل الاول من هذا الفيروس الذي قام بتصميمه القرصان التايواني شين الج هاو عام 1998 عندما كان طالبا في معهد تاتونج للتكنولوجيا وتم فصله منه بعد الخسائر الفادحة التي سببها من خلال هذا الفيروس في الشبكات المحلية داخل تايوان قبل ان يقوم بنشره على شبكة الانترنت.
ويحمل الفيروس الاحرف الثلاث الأولى من اسم مصممه التايواني «Chean-Ing- Hau» وهو عبارة عن قنبلة زمنية موقوتة لتنشط ذاتيا في تاريخ محدد سلفا وهو غالبا ما يكون في يوم 26 ابريل من كل عام الذي يتوافق مع عيد ميلاد شين على عكس المعلومات التي راجت من قبل عن ارتباط الفيروس بذكرى انفجار المفاعل النووي في مدينة تشرنوبيل الاوكرانية في 26 ابريل عام 1986 مما دفع وسائل الإعلام الى اطلاق هذا الاسم عليه بطريق الخطأ وهو ما نفاه شين بعد اعتقاله حيث اكد انه لم يسمع من قبل عن حادث تشرنوبيل.
وأكد ريتشارد سميث خبير مكافحة الفيروسات في شركة سكورتي نت سيرفس ان هذا الفيروس مازال يشكل خطراً كبيراً على مستخدمي اجهزة الكمبيوتر رغم انه اصبح معروفاً لدى جميع شركات المكافحة ومن السهل رصده لكننا يجب ان نتحسب للمفاجآت والتعديلات التي تم ادخالها عليه خاصة انه ارتبط في اذهان المستخدمين بكابوس 26 مارس 1999 عندما نجح في تدمير اكثر من ثلاثة ملايين جهاز كمبيوتر خلال ثلاثة أيام فقط في كل من استراليا والنمسا والسويد وسويسرا وروسيا وامريكا وشيلي وهولندا وتركيا وبعض بلدان الشرق الأوسط وقال سميث ان ظهور اجيال جديدة من الفيروس يؤكد بما لايدع مجالا للشك ان الشفرة الأساسية والنموذج الاصلي للفيروس «Assebler» مازالا موجودين في موقع ما على شبكة الانترنت ويمكن استخدامهما في تصميم اجيال جديدة اشد خطورة واسرع انتشاراً.
ويصيب الفيروس انظمة تشغيل ويندوز 95 و98 و2000 و ME ويقوم بتنصيب نفسه تلقائيا في ذاكرة نظام التشغيل ثم يقوم باصطياد جميع ملفات الدخول التنفيذية التي تحمل الامتداد EXE وينتقي منها الملفات النقالة المعروفة باسم PE ويصيبها ثم ينتقل الى الملفات ذات الامتداد ZIP ويصيبها ثم يقوم بتسجيل شفرته الخبيثة في اي مساحة خالية يعثر عليها داخل الملفات المصابة.
وبعد ذلك يقوم الملف التدميري بمهاجمة دائرة «flash Bios» التي تحتوي على بيانات التشغيل الكاملة للوحة الام «motherboard»التي يقوم الكمبيوتر بقراءتها عند بداية تشغيله للتعرف على البطاقات والاجهزة المتصلة به ويقوم الفيروس بمسح هذه البيانات والكتابة عليها مما يؤدي الى توقف الجهاز عن العمل وظهور الشاشة سوداء لا حياة فيها كما يقوم ايضا بتدمير جميع البيانات والملفات الموجودة على القرص الصلب.
ودعا ميكوهايبون مدير الابحاث في شركة اف سكيور الفنلندية مستخدمي اجهزة الكمبيوتر الى التزام جانب الحيطة والحذر لتجنب خطر هذا الفيروس وذلك من خلال اتباع ثلاث خطوات اساسية الأولى هي الاسراع بترقية برامج المكافحة من خلال زيارة مواقعها علي شبكة الانترنت لتزويدها بالبيانات الجديدة للفيروس حتى يتمكن من رصده وشل خطورته اما الخطوة الثانية فتتمثل في تغيير تاريخ اجهزة الكمبيوتر بالتقديم او التاخير حتى لا يتوافق مع موعد نشاط الفيروس اما الخطوة الثالثة وهي الاصعب فتتمثل في حماية دائرة «Flash Bios» لمنع الفيروس من مسح بياناتها او الكتابة عليها وذلك بالدخول على برنامج DIP Switch الخاص باللوحة الام وتعطيل امكانية الكتابة او التعديل على الدائرة وهذا الاجراء يحتاج الى فني متخصص اضافة الى انه لا يتوافر في جميع اللوحات واشار هايبون الى ان المعلومات المتوافرة عن الفيروس والضجة التي صاحبت انتشاره خلال السنوات الماضية ساهمت بشكل كبير في توعية المستخدمين وقللت من خطورته لكننا في جميع الأحوال لابد ان نستعد لاستقباله جيداً.
يذكر ان هناك عدة اجيال ظهرت من هذا الفيروس خلال الأعوام الماضية كان اخطرها الجيل الثاني الذي حمل اسم TTIT CIH 1.2 والجيل الثالث الذي يحمل اسم CIH1.3TTIT وكلاهما ينشط في 26 ابريل من كل عام بالاضافة الى الجيل الرابع الذي يحمل اسم CIH1.4 TATUNG وينشط في 26 من اي شهر بالاضافة الى الجيلين الجديدين الذين تم اكتشافهما في الفلبين والولايات المتحدة.
من ناحية أخرى تسبب فيروس يدعى فيريكا Vierka في اثارة موجة من الرعب في ايطاليا والدول المجاورة بعد ان بدأ في الانتشار عبر البريد الالكتروني وهو يشبه الى حد كبير فيروس آنا كورينكوفا في طريقة عمله لكنه اكثر خطورة منه لأنه يتكون من جزأين احدهما برنامج تروجان يمكن استخدامه في شن هجمات على شبكة الانترنت شبيهة بنظام انكار الخدمة المعروف باسم DDOS.
وأكد الخبراء ان الفيروس الذي قام بتصميمه القرصان كارلو ديدورا مكتوب بلغة فيجوال بيسك وينتشر بسرعة كبيرة بنظام الرسائل الجماعية Mass-Mail من خلال رسالة تحمل عنوان «هنا فيريكا» وتتضمن ملفا مرفقا يحتوي على صورة لفتاة روسية وبمجرد فتح هذا الملف ينشط الفيروس ويقوم بنسخ شفرته في دليل ويندوز وفي مجلد ملفات التسجيل ويقوم ايضا بتكوين مفاتيح خاصة به حتى يتمكن من النشاط تلقائيا في كل مرة يعاد فيها تشغيل جهاز الكمبيوتر ثم يقوم بعد ذلك بارسال نفسه الى جميع المستخدمين الذين يعثر على عناوينهم في برنامج اوت لوك.
وبعد ذلك يقوم الفيروس بتعديل مستوى الحماية في المتصفح انترنت اكسبلورر الى المستوى الادنى واجباره علي دخول موقع http://web.tescr Linet.it/drivojorg/vierika/html وبمجرد تحميل صفحة الموقع تظهر رسالة تقول لقد اصبحت الآن تحت السيطرة يتم تحميل الجزء الثاني للفيروس وهو برنامج التروجان الذي يتم تنصيبه في الجهاز المصاب لاستخدامه في شن هجمات على شبكة الانترنت.
ورغم عدم تسبب الفيروس في حدوث خسائر كبيرة إلا ان شركات الانترنت سارعت باغلاق اجهزة الخدمة الخاصة بها في وجه المستخدمين وانتقلت حالة الهلع الى بعض الدول الأخرى ومنها سويسرا والنمسا وفرنسا واليونان وقبرص ورغم قيام الشرطة الايطالية باعتقال ديدورا إلا انه رفض الإدلاء بأية معلومات تساعد في تتبع الفيروس ووقف انتشاره واكتفى بالتأكيد على انه قام بتصميم الفيروس بنفسه دون استخدام اي برامج او ادوات مساعدة مخصصة لذلك.