أول برنامج سعودي للحماية من فيروس الحب

فيما يتطور يومياً وخطره يزداد الجزيرة تعرض مراحل تطور الفيروس وطريقة التخلص منه

في هذه السطور سنتطرق الى فيروس الحب بشكل تحليلي ولكي افعل ذلك سعيت للحصول على مصدر البرنامج source code لكي اتعرف على الاوامر التي تنفذ اثناء التشغيل ولله الحمد استطعت الحصول عليه مما مكنني من معرفة جميع اوامر هذا البرنامج.
ومن هنا سنتعرف في هذا الموضوع على ماهية هذا الفيروس وبأي لغة كتب وماذا يفعل بالضبط عندما يهاجم الجهاز وكيف يستطيع مهاجمة الجهاز وفي النهاية سنتحدث عن طرق الحماية منه ومن اهمها البرنامج الذي كتب بواسطة مبرمجين سعوديين يستطيع حماية الجهاز من هذا الفيروس بكل كفاءة سواء كان الفيروس قادما عن طريق البريد الالكتروني او برامج المحادثة chat.
أصل الفيروس
فيروس الحب اطلق عليه هذا الاسم لانه في بداية ظهوره كان يصل على هيئة رسالة تحمل العنوان I LOVE YOU وعندما تصل الرسالة فانها لا تصيب الجهاز مباشرة بمجرد قراءتها كما يعتقد الكثير وللأسف منهم الكثير من كتابنا الذين اكثروا الحديث عن هذا الفيروس مما اصاب الكثيرين بالهلع خوفا على بياناتهم وملفاتهم المهمة ولكن لكي يبدأ الفيروس بالعمل عليك ان تفتح الملف المرفق وهو في الرسالة حيث يطلب منك ذلك فالرسالة تحمل الكلمات التالية:
kinly check the attached LOVELETTER coming from me وهي تعني لو تكرمت افتح الملف المرفق فهو عبارة عن رسالة حب قادمة مني وهذه الرسالة الجميلة هي التي دفعت الكثير من المستخدمين الى فتح الملف المرفق بدافع الفضول والملف المرفق يحمل الاسم LOVE- LETTER- FOR- YOU. TXT. vbs وكما تلاحظون فان الملف المرفق يحمل الامتداد المزيف TXT, وهو يرمز للملفات النصية وقد وضع كاتب الفايروس هذا الامتداد بكل ذكاء لان الجميع يعرفون ان الملفات النصية غير تنفيذية اي للقراءة فقط ولا تنفذ اوامر من تلقاء نفسها ومن اول وهلة فان المستخدم يخدع ولا يتنبه الى ان الامتداد الحقيقي للملف المرفق هو .vbs وهذا الامتداد يعني ان هذا الملف هو ملف فيجوال بيسك سكريبت اي سيتم تنفيذ الاوامر المكتوبة بهذا الملف بمجرد الضغط عليه اي كأنك تضغط على اي ملف ينتهي بالامتداد exe, com, bat وهي جميعا ملفات خطرة يجب عدم المغامرة بفتحها اذا كانت قادمة من الانترنت لانه بمجرد فتح الملف فدعني اقل لك ان ملفاتك قد انتهت.
وقلنا ان الفيروس كتب بلغة الفيجوال بيسك سكريبت وهذا يعني ان الفيروس يهاجم الاجهزة التي تحمل البرنامج ويندوز سكريبت مما يعني جميع الاجهزة التي حمل عليها ويندوز 95 مع المتصفح انترنت اكسبلورر الاصدار الخامس او احدث من مايكروسوفت او الاجهزة التي تستخدم ووندوز 98 مع خاصية سطح المكتب النشط.
فهل اريد ان اقول اننا جميعا معرضون لهذا الفيروس؟؟؟ نعم هو ذاك,.
والآن سنتعرف على الاعمال التي يقوم بها هذا الفيروس عندما يبدأ العمل وهي كما يلي بالتفصيل:
عندما يعمل الفايروس يبحث في ملف سجل النظام عن المفتاح
HKEY- CURRENT- USER\ SOftware\ Microsoft\ Windows Scripting Host\ Settings\ Timeout فاذا وجد اي قيمة فيه فانه يحولها الى صفر لكي لا يكون هناك وقت محدد لتنزيل الملفات من الانترنت.
ثم يقوم بنسخ نفسه الى المواقع التالية بالاسماء التالية:
1 الى الدليل C: \ windows\ system ويكون اسمه MSKernel32. vbs
2 الى الدليل C:\windows\ system ويكون اسمه LOVE- LETTER- FOR- YOU. TXT. vbs
3 الى الدليل C:\windows ويكون اسمه Win32DLL. vbs واود ان اقول ان الدليل ويندوز المذكور هو الدليل الحقيقي لديك مهما اختلف اسمه فالبرنامج لديه القدرة على معرفة دليل ويندوز لديك.
بعد ذلك يقوم بتسجيل نفسه في سجل النظام لكي يعمل تلقائيا كلما قمت بتشغيل الجهاز ولكي يفعل ذلك يسجل نفسه بالمفتاحين
HKEY- LOCAL- MACHINE\ Software\ Microwoft\ Windows\C
urrentVersion\ Run\ MSKernel32
HKEY- LOCAL- MACHINE\ Software\ Microsoft\ Windows\ Cur و rentVersion\ RunServices\ Win32DLL
ايضا يتلاعب بسجل النظام وهذه المرة لكي يستدعي فيروس آخر من الانترنت ليساعده في سرقتك ومهمة الفيروس الجديد هي سرقة جميع كلمات السر الموجودة في جهازك وارسالها الى البريد الالكتروني التالي mailme@ super. net. ph WIN- BUGSFIX. exe مباشرة من الانترنت بمجرد تشغيل الاكسبلورر.
يستمر الفيروس بتلاعبه في سجل النظام وهذه المرة ليجعل الفيروس الجديد ا يضا يعمل مباشرة عند تشغيل الويندوز ولكي يفعل ذلك يكتب المفتاح التالي:
HKEY - LOCAL- MACHINE\ Software\ Microsoft\ Windows\ Curren
tVersion\ Run\ WIN- BUGSFI
X=)download directory( win- bugsfix. exe
وبعد وبكل احترام يقوم بجعل صفحة البداية لانترنت اكسبلورر.
الصفحة الخالية لانه ليس بحاجة الى نسخ اخرى من الفيروس المساعد.
يقوم الفيروس بانشاء ملف يدعى LOVE- LETTER- FOR- YOU. HTM
وكما نعرف فهذه عبارة عن صفحة ويب وهي تعمل مع انترنت اكسبلورر وعند عمل هذه الصفحة فهي تقوم باستدعاء اداة اكتف اكس وهنا وفي اول مرة لعملها سيعرض عليك انترنت اكسبلورر رسالة يحذرك ويسألك هل تريد السماح بتشغيل هذه الاداة ام لا؟ عموما هذه الاداة فقط لمساعدة البرنامج ليقوم بنشر نفسه عن طريق مخارج برامج المحادثة وهي من طرقه الانتشارية العديدة.
الان يقوم الفيروس باستكشاف عناوين البريد الالكتروني الموجودة لديك ليرسل لهم نفسه وهكذا وقد استطاع بهذه الطريقة ان ينتشر في مئات الملايين من الاجهزة خلال اسبوعين فقط.
ثم يبدأ برحلة الاستمتاع في جهازك ويقوم بمراقبة جميع الاقراص الموجودة لديك ويقوم بمسح ملفات البيانات الموجودة بها وكتابة نفسه بدلا منها.
والعجيب ان الملفات التي تنتهي بالامتداد mp2, .mp3 لا يقوم بمسحها ولكنه يقوم بجعلها مخفية عن طريق تغيير خصائص الملف وللمعلومية فهذه ملفات موسيقى فهل هذا المهووس رقيق الاحساس الى هذه الدرجة.
في هذه الخطوة يستكشف هل تمتلك برنامج المحادثة mIRC وعندما يجده يقوم بالكتابة على الملف script.ini لكي يقوم بارسال الملف LOVE- LETTER- FOR- YOU. HTM الى اي شخص يدخل غرف المحادثة التي يوجد بها الشخص المصاب.
وما تحدثت عنه حتى الآن هو عمل فيروس الحب وبعض مميزاته ولكن للاسف فالفيروس يتطور كل يوم ولا اقصد بما يؤديه اي انها جميعا ستقوم بالخطوات السابقة كما كتبها مؤلف الفيروس ولكن بدأت تظهر الاضافات التالية:
اهم الاضافات التي طرأت هي تغيير العنوان واسم الملف وقلب الرسالة فاليك بعض الامثلة:
رسالة تحمل العنوان Thank You For Flying With Arab Airlines والملف المرفق لها بالاسم ArabAir. TXT. vbs وهنا اود ان اقول هذه الرسالة من الممكن تحويلها للغة العربية بكل سهولة بل انها تصبح اكثر تضليلا عندما تستخدم بالغة العربية لان امتداد الملف لن يكون واضحا.
كان الفيروس الاصلي لا يعطل الجهاز عن العمل لكي يستفيد منه دائما كمحطة عمل وتنقل ولكن بعض التعديلات جعلت الفيروس يوقف الجهاز عن العمل.
والآن سنتحدث عن طرق الحماية من هذا الفيروس وهي كما يلي:
في البداية عليك عدم فتح اي ملف مرفق مالم تتأكد من مصدره جيدا.
عدم فتح اي ملف مرفق يحمل احد الامتدادات exe, com, bat, vbs.
اياك ان تقبل اي ملف يأتيك عن طريق برامج المحادثة.
وايضا تستطيع استخدام البرنامج مكافح فيروس الحب الذي يقوم بوقف الملفات vbs عن العمل بمجرد تنزيله وتستطيع تنزيله من الصفحة
http;// www. khayma. com/ muntada وهو اول برنامج سعودي عربي يقوم بهذا العمل.
ولمزيد من المعلومات يمكن الاتصال بنا على البريد الالكتروني للصفحة او على بريدي التالي
sagmoh@arab net.sa