تراجع النفط وسط تأثير التوترات التجارية    منظمة العفو الدولية: إسرائيل ترتكب جريمة إبادة جماعية    أمير منطقة جازان يرعى حفل تخريج الدفعة ال20 من طلبة جامعة جازان    الهدد وصل منطقة جازان.. الأمانة العامة تعلن رسميًا عن الشوارع والأحياء التي تشملها خطة إزالة العشوائيات    ولي العهد يعزز صناعة الخير    ولي العهد يتبرع بمليار ريال دعماً لتمليك الإسكان    بالتعاون بين وزارة النقل و«كاوست».. إطلاق مشروع «أرض التجارب» لتطوير قطاع النقل بالمملكة    السعودية ومصر تعززان التعاون الصناعي    وفاة «أمح».. أشهر مشجعي الأهلي المصري    توجّه دولي يضع نهاية لزمن الميليشيات.. عون:.. الجيش اللبناني وحده الضامن للحدود والقرار بيد الدولة    بوتين يعلن هدنة مؤقتة في ذكرى انتصار الاتحاد السوفيتي    الانتخابات العراقية بين تعقيدات الخريطة وضغوط المال والسلاح    النصر يتوج بكأس دوري أبطال آسيا الإلكترونية للنخبة 2025    المنتخب السعودي للخماسي الحديث يستعد لبطولة اتحاد غرب آسيا    نادي الثقبة لكرة قدم الصالات تحت 20 سنة إلى الدوري الممتاز    في الجولة 31 من يلو.. نيوم لحسم اللقب.. والحزم للاقتراب من الوصافة    كلاسيكو نار في نصف نهائي نخبة آسيا للأبطال.. الأهلي والهلال.. قمة سعودية لحجز مقعد في المباراة الختامية    رافينيا: تلقيت عرضا مغريا من الدوري السعودي    الفالح: 700 فرصة استثمارية في الشرقية بقيمة 330 ملياراً    الضيف وضيفه    شدّد على تأهيل المنشآت وفق المعايير الدولية.. «الشورى» يطالب بتوحيد تصنيف الإعاقة    زواجات أملج .. أرواح تتلاقى    أمير المدينة يدشّن مرافق المتحف الدولي للسيرة النبوية    الأمير فيصل بن سلمان:"لجنة البحوث" تعزز توثيق التاريخ الوطني    حكاية أطفال الأنابيب (2)    «الشورى» يقر توصيات لتطوير مراكز متخصصة للكشف المبكر لذوي الإعاقة والتأهيل    استعراض منجزات وأعمال "شرف" أمام أمير تبوك    مباحثات دولية حول تأثير التقنيات الحديثة لتمويل الإرهاب في اجتماع الرياض.. اليوم    غزة: 65 % من الشهداء أطفال    وزارة الداخلية تواصل تنفيذ مبادرة "طريق مكة" في (7) دول و(11) مطارًا    محمد بن عبدالرحمن يلتقي نائب "أمن المنشآت"    بيئة جدة تشارك في فعالية «امش 30»    مستشفى الملك خالد بالخرج يدشن عيادة جراحة السمنة    هيئة الربط الخليجي ومعهد أبحاث الطاقة الكهربائية ينظمان ورشة عن الذكاء الاصطناعي التوليدي    محافظ محايل يكرم العاملين والشركاء في مبادرة "أجاويد 3"    6.47 مليارات ريال إيرادات المنشآت السياحية في 90 يوما    فرقنا نحو المجد الآسيوي: إنجازات غير مسبوقة.. ونهائي نحلم به    يايسله: الهلال لا يقلقني    46 قتيلا في انفجار ميناء إيران    انطلاق ملتقى "عين على المستقبل" في نسخته الثانية    شذرات من الفلكلور العالمي يعرف بالفن    GPT-5 وGPT-6 يتفوقان على الذكاء البشري    أمير المدينة المنورة يدشّن المرافق الحديثة للمتحف الدولي للسيرة النبوية    مكتبة الملك عبدالعزيز تعقد ندوة "مؤلف وقارئ بين ثنايا الكتب"    تدشين 9 مسارات جديدة ضمن شبكة "حافلات المدينة"    جمعية الخدمات الصحية في بريدة تفوز بجائزة ضمان    القبض على مواطن بتبوك لترويجه مادة الحشيش المخدر    محافظ تيماء يرأس الجلسه الأولى من الدورة السادسة للمجلس المحلي    بلدية مركز شري تُفعّل مبادرة "امش 30" لتعزيز ثقافة المشي    جامعة الأمير سلطان تطلق أول برنامج بكالوريوس في "اللغة والإعلام" لتهيئة قادة المستقبل في الإعلام الرقمي    أمير الشرقية يرعى تخريج الدفعة ال 46 من جامعة الملك فيصل    مدير الجوازات يستعرض خطة أعمال موسم الحج    السعودية تمتلك تجارب رائدة في تعزيز ممارسات الصيد    كيف تحل مشاكلك الزوجيه ؟    بتوجيه من ولي العهد.. إطلاق اسم "مطلب النفيسة" على أحد شوارع الرياض    «جمعية تجهيز» تُخصص رقماً مجانياً للتواصل    «هيئة الشورى» تعقد اجتماعها الثامن    ملتقى «توطين وظيفة مرشد حافلة» لخدمة ضيوف الرحمن    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



أول برنامج سعودي للحماية من فيروس الحب
فيما يتطور يومياً وخطره يزداد الجزيرة تعرض مراحل تطور الفيروس وطريقة التخلص منه
نشر في الجزيرة يوم 07 - 06 - 2000

في هذه السطور سنتطرق الى فيروس الحب بشكل تحليلي ولكي افعل ذلك سعيت للحصول على مصدر البرنامج source code لكي اتعرف على الاوامر التي تنفذ اثناء التشغيل ولله الحمد استطعت الحصول عليه مما مكنني من معرفة جميع اوامر هذا البرنامج.
ومن هنا سنتعرف في هذا الموضوع على ماهية هذا الفيروس وبأي لغة كتب وماذا يفعل بالضبط عندما يهاجم الجهاز وكيف يستطيع مهاجمة الجهاز وفي النهاية سنتحدث عن طرق الحماية منه ومن اهمها البرنامج الذي كتب بواسطة مبرمجين سعوديين يستطيع حماية الجهاز من هذا الفيروس بكل كفاءة سواء كان الفيروس قادما عن طريق البريد الالكتروني او برامج المحادثة chat.
أصل الفيروس
فيروس الحب اطلق عليه هذا الاسم لانه في بداية ظهوره كان يصل على هيئة رسالة تحمل العنوان I LOVE YOU وعندما تصل الرسالة فانها لا تصيب الجهاز مباشرة بمجرد قراءتها كما يعتقد الكثير وللأسف منهم الكثير من كتابنا الذين اكثروا الحديث عن هذا الفيروس مما اصاب الكثيرين بالهلع خوفا على بياناتهم وملفاتهم المهمة ولكن لكي يبدأ الفيروس بالعمل عليك ان تفتح الملف المرفق وهو في الرسالة حيث يطلب منك ذلك فالرسالة تحمل الكلمات التالية:
kinly check the attached LOVELETTER coming from me وهي تعني لو تكرمت افتح الملف المرفق فهو عبارة عن رسالة حب قادمة مني وهذه الرسالة الجميلة هي التي دفعت الكثير من المستخدمين الى فتح الملف المرفق بدافع الفضول والملف المرفق يحمل الاسم LOVE- LETTER- FOR- YOU. TXT. vbs وكما تلاحظون فان الملف المرفق يحمل الامتداد المزيف TXT, وهو يرمز للملفات النصية وقد وضع كاتب الفايروس هذا الامتداد بكل ذكاء لان الجميع يعرفون ان الملفات النصية غير تنفيذية اي للقراءة فقط ولا تنفذ اوامر من تلقاء نفسها ومن اول وهلة فان المستخدم يخدع ولا يتنبه الى ان الامتداد الحقيقي للملف المرفق هو .vbs وهذا الامتداد يعني ان هذا الملف هو ملف فيجوال بيسك سكريبت اي سيتم تنفيذ الاوامر المكتوبة بهذا الملف بمجرد الضغط عليه اي كأنك تضغط على اي ملف ينتهي بالامتداد exe, com, bat وهي جميعا ملفات خطرة يجب عدم المغامرة بفتحها اذا كانت قادمة من الانترنت لانه بمجرد فتح الملف فدعني اقل لك ان ملفاتك قد انتهت.
وقلنا ان الفيروس كتب بلغة الفيجوال بيسك سكريبت وهذا يعني ان الفيروس يهاجم الاجهزة التي تحمل البرنامج ويندوز سكريبت مما يعني جميع الاجهزة التي حمل عليها ويندوز 95 مع المتصفح انترنت اكسبلورر الاصدار الخامس او احدث من مايكروسوفت او الاجهزة التي تستخدم ووندوز 98 مع خاصية سطح المكتب النشط.
فهل اريد ان اقول اننا جميعا معرضون لهذا الفيروس؟؟؟ نعم هو ذاك,.
والآن سنتعرف على الاعمال التي يقوم بها هذا الفيروس عندما يبدأ العمل وهي كما يلي بالتفصيل:
عندما يعمل الفايروس يبحث في ملف سجل النظام عن المفتاح
HKEY- CURRENT- USER\ SOftware\ Microsoft\ Windows Scripting Host\ Settings\ Timeout فاذا وجد اي قيمة فيه فانه يحولها الى صفر لكي لا يكون هناك وقت محدد لتنزيل الملفات من الانترنت.
ثم يقوم بنسخ نفسه الى المواقع التالية بالاسماء التالية:
1 الى الدليل C: \ windows\ system ويكون اسمه MSKernel32. vbs
2 الى الدليل C:\windows\ system ويكون اسمه LOVE- LETTER- FOR- YOU. TXT. vbs
3 الى الدليل C:\windows ويكون اسمه Win32DLL. vbs واود ان اقول ان الدليل ويندوز المذكور هو الدليل الحقيقي لديك مهما اختلف اسمه فالبرنامج لديه القدرة على معرفة دليل ويندوز لديك.
بعد ذلك يقوم بتسجيل نفسه في سجل النظام لكي يعمل تلقائيا كلما قمت بتشغيل الجهاز ولكي يفعل ذلك يسجل نفسه بالمفتاحين
HKEY- LOCAL- MACHINE\ Software\ Microwoft\ Windows\C
urrentVersion\ Run\ MSKernel32
HKEY- LOCAL- MACHINE\ Software\ Microsoft\ Windows\ Cur و rentVersion\ RunServices\ Win32DLL
ايضا يتلاعب بسجل النظام وهذه المرة لكي يستدعي فيروس آخر من الانترنت ليساعده في سرقتك ومهمة الفيروس الجديد هي سرقة جميع كلمات السر الموجودة في جهازك وارسالها الى البريد الالكتروني التالي mailme@ super. net. ph WIN- BUGSFIX. exe مباشرة من الانترنت بمجرد تشغيل الاكسبلورر.
يستمر الفيروس بتلاعبه في سجل النظام وهذه المرة ليجعل الفيروس الجديد ا يضا يعمل مباشرة عند تشغيل الويندوز ولكي يفعل ذلك يكتب المفتاح التالي:
HKEY - LOCAL- MACHINE\ Software\ Microsoft\ Windows\ Curren
tVersion\ Run\ WIN- BUGSFI
X=)download directory( win- bugsfix. exe
وبعد وبكل احترام يقوم بجعل صفحة البداية لانترنت اكسبلورر.
الصفحة الخالية لانه ليس بحاجة الى نسخ اخرى من الفيروس المساعد.
يقوم الفيروس بانشاء ملف يدعى LOVE- LETTER- FOR- YOU. HTM
وكما نعرف فهذه عبارة عن صفحة ويب وهي تعمل مع انترنت اكسبلورر وعند عمل هذه الصفحة فهي تقوم باستدعاء اداة اكتف اكس وهنا وفي اول مرة لعملها سيعرض عليك انترنت اكسبلورر رسالة يحذرك ويسألك هل تريد السماح بتشغيل هذه الاداة ام لا؟ عموما هذه الاداة فقط لمساعدة البرنامج ليقوم بنشر نفسه عن طريق مخارج برامج المحادثة وهي من طرقه الانتشارية العديدة.
الان يقوم الفيروس باستكشاف عناوين البريد الالكتروني الموجودة لديك ليرسل لهم نفسه وهكذا وقد استطاع بهذه الطريقة ان ينتشر في مئات الملايين من الاجهزة خلال اسبوعين فقط.
ثم يبدأ برحلة الاستمتاع في جهازك ويقوم بمراقبة جميع الاقراص الموجودة لديك ويقوم بمسح ملفات البيانات الموجودة بها وكتابة نفسه بدلا منها.
والعجيب ان الملفات التي تنتهي بالامتداد mp2, .mp3 لا يقوم بمسحها ولكنه يقوم بجعلها مخفية عن طريق تغيير خصائص الملف وللمعلومية فهذه ملفات موسيقى فهل هذا المهووس رقيق الاحساس الى هذه الدرجة.
في هذه الخطوة يستكشف هل تمتلك برنامج المحادثة mIRC وعندما يجده يقوم بالكتابة على الملف script.ini لكي يقوم بارسال الملف LOVE- LETTER- FOR- YOU. HTM الى اي شخص يدخل غرف المحادثة التي يوجد بها الشخص المصاب.
وما تحدثت عنه حتى الآن هو عمل فيروس الحب وبعض مميزاته ولكن للاسف فالفيروس يتطور كل يوم ولا اقصد بما يؤديه اي انها جميعا ستقوم بالخطوات السابقة كما كتبها مؤلف الفيروس ولكن بدأت تظهر الاضافات التالية:
اهم الاضافات التي طرأت هي تغيير العنوان واسم الملف وقلب الرسالة فاليك بعض الامثلة:
رسالة تحمل العنوان Thank You For Flying With Arab Airlines والملف المرفق لها بالاسم ArabAir. TXT. vbs وهنا اود ان اقول هذه الرسالة من الممكن تحويلها للغة العربية بكل سهولة بل انها تصبح اكثر تضليلا عندما تستخدم بالغة العربية لان امتداد الملف لن يكون واضحا.
كان الفيروس الاصلي لا يعطل الجهاز عن العمل لكي يستفيد منه دائما كمحطة عمل وتنقل ولكن بعض التعديلات جعلت الفيروس يوقف الجهاز عن العمل.
والآن سنتحدث عن طرق الحماية من هذا الفيروس وهي كما يلي:
في البداية عليك عدم فتح اي ملف مرفق مالم تتأكد من مصدره جيدا.
عدم فتح اي ملف مرفق يحمل احد الامتدادات exe, com, bat, vbs.
اياك ان تقبل اي ملف يأتيك عن طريق برامج المحادثة.
وايضا تستطيع استخدام البرنامج مكافح فيروس الحب الذي يقوم بوقف الملفات vbs عن العمل بمجرد تنزيله وتستطيع تنزيله من الصفحة
http;// www. khayma. com/ muntada وهو اول برنامج سعودي عربي يقوم بهذا العمل.
ولمزيد من المعلومات يمكن الاتصال بنا على البريد الالكتروني للصفحة او على بريدي التالي
sagmoh@arab net.sa


انقر هنا لقراءة الخبر من مصدره.