فيروسات تنتحل شخصية البرامج
-----------------------
كيف سيقوم الفيروس بتسجيل نفسه ليعمل مع بدء تشغيل الحاسب و بصفة شرعية ؟
إن الفيروس لن يعمل مع بدء تشغيل الحاسب خاصة و بوجود مضادات الفيروسات إلا أنه سيقوم بنسخ نفسه إلى جميع محركات الأقراص الصلبة و الأقراص المرنة و القابلة للإزالة مع إنشاء ملف جديد باسم autorun.inf مرافق لكل نسخة من الفيروس
وحتى لا تكون هذه الملفات ظاهرة للمستخدم سيتم تحويل نظامها إلى (مخفي) و من ثم سيقوم الفيروس بإلغاء خاصية إظهار الملفات المخفية من النظام
و بعض الخطوات التي تمنع المستخدم من إيقافه (منعه من الوصول لإدارة المهام أو موجه الأوامر أو تسجيلات النظام أو البرنامج المسؤول عن عرض و تعديل عمليات بدء التشغيل إلى ما ذلك) .
أما عن مهمة ملف الautorun.inf فهي عبارة عن برمجة مضمنة في نظام الويندوز تفيد في تشغيل ملفات التطبيقات بشكل تلقائي عند النقر المزدوج على اسم القرص الحاوي لهذا الملف
أو بشكل فوري عند وضع قرص ليزري في السواقة الليزرية و بالإمكان توثيق هذا الكلام عبر تجربة أقراص البرامج التي تدعم التشغيل الفوري .
و الخطة الجديدة المتبعة الآن هي فيروس في القرص الليزري يرافقه ملف autorun.inf سيقوم بتشغيل هذا الفيروس فورا عند وضع القرص الليزي في سواقة الأقراص و سيقوم بنسخ نفسه إلى جميع محركات الأقراص
الأخرى و الأهم من ذلك أن برامج مضادات الفيروسات ستعتبر هذا الفيروس برنامجا خاصا بالتشغيل التلقائي للقرص .
و لا ينحصر هذا الكلام على القرص الليزري بل و على جميع محركات الأقراص الأخرى .
و مثال على ذلك :
لو قمنا بإنشاء الملف autorun.inf و قمنا بكتابة الأسطر التالية داخله :
[autorun]
Shellexecute=notepad.exe
وقمنا بنسخه مع ملف المفكرة "notepad.exe"( الموجود داخل مجلد النظام) إلى جميع الأقراص فسنجد و بعد إعادة التشغيل أنه و كلما قمنا باستعراض محتويات الأقراص سيتم تشغيل برنامج المفكرة.
و هو الأسلوب المتبع في بدء تشغيل الفيروسات الجديدة مثل فيروس الـ,Host Copy الذي انتشر مؤخرا و بشكل كبير و بملفات الإصابة التالية:
Copy.exe , Host.exe , autorun.inf , xcopy.exe , temp1.exe , temp2.exe .
و بما رأينا فإن المستخدم هو من سيقوم بتشغيل الفيروس عبر النقر على أحد محركات أقراصه الصلب دون أن يقوم هذا الفيروس بالتسجيل مع بدء التشغيل و هو ما سيكون شرعيا تماما بالنسبة لأغلب مضادات الفيروسات .
أفكار و حلول لتفادي الإصابة
----------------
1 - يجب تحديث مضاد الفيروسات دائما و بشكل دوري .
2 - الحذر باستعمال البرامج المقرصنة و البرامج الغير موثقة المصدر .
3 - يمكن إيقاف التشغيل التلقائي لسواقات محددة مع هذا البرنامج
والذي يحوي ملف Autorun_Removal لإزالة ملف الأوتورن عن جميع السواقات وتخطي رسالة
"فتح باستخدام" عند دخول السواقات
ونكون قد أوقفنا الفيروسات المستخدمة له عن العمل وقمنا بإصلاح أخطاء النظام التي خلفها الفايروس
1 - مسح سريع أو كامل للحاسب للعديد من أنواع الفيروسات التي تنتشر في الوطن العربي بكثرة و التي لا تكتشف أغلبها مضادات الفيروسات الشهيرة .
2 - نظام إصلاح أخطاء تسجيلات نظام الويندوز و الذي يضم كل من:
- إصلاح مشكلة اختفاء خيار خيارات المجلد .
- إصلاح خطأ منع ظهور الملفات المخفية و ملفات النظام .
- إصلاح أخطاء منع المستخدم من الوصول إلى إدارة المهام ، محرر التسجيلات ، موجه الأوامر .
- إصلاح مشكلة عدم القدرة على الدخول إلى الوضع الآمن (الشاشة الزرقاء).
- إصلاح مشكلة عدم القدرة على الدخول إلى الأقراص الصلبة و المتحركة عن طريق استخدام أمر الفتح (open) .
- إصلاح مشكلة منع تعيين صفحة البدء في المستعرض Internet Explorer .
3 - تحديث سريع دوري للأداة بنظام إبلاغ دائم للمستخدمين .
4 - دعم لمستخدمي الأداة عبر موقع يمان لرفع ملفات الإصابة لديهم و التبليغ عن مشاكل الفيروسات .
5 - أوامر تشغيل خارجية للعمل مع بدء التشغيل و الفحص التلقائي .
6 - خيار حماية من أية ملفات خبيثة تعمل مع استعراض الأقراص القابلة للإزالة حتى إذا لم تكن هذه الملفات معروفة للأداة العامة .
يتم تفعيله عبر وضع إشارة صح بجانب الأمر :auto scanning mode و عند النقر على زر الإنهاء سيبقى البرنامج ليعمل في شريط المهام بجانب الساعة
7 - خيار خاص بالمحترفين يقوم بإظهار البرامج التي تعمل في بدء التشغيل - إمكانية استعراض الملفات المخفية و التحكم الكامل بها - امكانية التحكم و رؤية مسارات البرامج التي تعمل في الخلفية
(بعد تشغيل الأداة العامة و ظهور النافذة الرئيسية قم بكتابة الكلمة yaman و سيتم تفعيل خيارات المحترفين)
تحميل الأداة