البرمجيات الخبيثة (Malware هي نحت لحدثتين هما "malicious software"): وتعني البرمجية الماكرة أوالخبيثة، وهي برنامج مخصص للتسلل إلى نظام الحاسب أوتدميره بدون رضا المالك. وما إذا تم تثبيت البرمجية الخبيثة فإنه من الصعب جداً إزالتها. وبحسب درجة البرمجية من الممكن حتى يتراوح أذاها من إزعاج سهل (بعض النوافذ الإعلانية الغير مرغوب بها خلال عمل المستخدم على الحاسب متصلاً أم غير متصلا بالشبكة) إلى أذىً غير قابل للإصلاح يحتاج إعادة تهيئة القرص الصلب على سبيل المثال. من الأمثلة على البرمجيات الخبيثة هي الفيروسات، وأحصنة طروادة.

يجب حتى لا يتم الخلط بين البرامج الخبيثة والبرامج المعيبة، والتي هي برامج مكتوبة لأهداف مشروعة لكنها تحوي أخطاءً أومشاكل.

الأهداف

بأضرار بالغة.على كلٍ، فمنذ بداية انتشار حزم الوصول العريضة للإنترنت، أصبحت البرامج الخبيثة الجديدة متجهةً لدافع ربحي. عملى سبيل المثال، ومنذ عام 2003 ربما قام المبرمجون الصغار بكتابة البعض منها لإثبات ما يمكن حتى يقوموا به ولأي مدى بإمكانهم كتابتها بالإنترنت خرى من البرمجيات الخبيثة الربحية الهدف هي برامج التجسس spyware والتي صممت لتراقب تصفح المستخدم للإنترنت وإظهار إعلانات غير مرغوب بها بهدف حصول داعم كتابتها لتكون عديمة الضرر ومزعجةً نوعاً ما وليس من أجل التسب بالمنتشرة تم تصميمها للسيطرة على حواسب المستخدمين لاستغلالها لأغراض غير قانونية أوإجرامية. فالحواسب المصابة بفيروس zombie تم استخدامها لترسل بريداً يحوي مواداً ممنوعة كاستغلال القاصرين، أولتنظيم هجمات حجب الخدمة الموزعة distributed denial-of-service attacks كطريقة للابتزاز.

ظهرت صيغة أخرى من البرمجيات الخبيثة الربحية الهدف هي برامج التجسس spyware والتي صممت لتراقب تصفح المستخدم للإنترنت وإظهار إعلانات غير مرغوب بها بهدف حصول داعم هذه الإعلانات (والذي هومنشئ البرنامج) على عائد إعلاني من جراء تكرار وصول المستخدمين الكبير إليها. برامج التجسس لا تنتشر عادةً بنفس الكيفية التي تنتشر ومن البرامج العدائية أكثر منها ما صمم لتخريب البيانات أوالتسبب بضياعها. والكثير من فيروسات نظام MS-DOS صممت لتدمير الملفات على القرص الصلب أولتخريب نظام الملفات وذلك بكتابة بيانات لا معنى لها. ويمكن حتى نعطي ديدان الشبكات مثل دودة Code Red أوRamen نفس التصنيف، فهي مصممة لتخريب المعلومات أيضاً ولكن لصفحات الوب.

والانتقام كان أيضاً دافعاً لكتابة برامج خبيثة. كأن يقوم مبرمج أومدير على وشك حتى يطرد من عمله بهجر مداخل خلفية للنظام backdoor أوبرامج "كقنبلة موقوتة" تسمح له بتدمير نظام صاحب العمل السابق أوتخريب عمله السابق.

ظهرت صيغة أ بها الفيروسات، إذ أنها تنصب عادةً باستغلال ثغرات أمنية في متصفح الإنترنت أوأنها تنصب كحصان طروادة Trojan Horse عند تنصيب برنامج آخر.

البرامج الخبيثة المعدية: الفيروسات والديدان

عهدت هذه البرامج (الديدان والفيروسات) بهذه التسمية لا بسبب العمل المحدد الذي تقوم به، بل للكيفية التي تنتشر بها. ففي الأصل أطلق مصطلح "فيروس حاسوبي" على البرامج التي برامج تطبيقية أخرى بينما "الدودة" تقوم بنشر نفسها على الشبكة لتصيب الحواسب الأخرى. أما حالياً فيتم استخدام المصطلحين واحداً بدل الآخر في الكثير من الأحيان.

يحدد البعض الفرق بين الفيروسات والديدان بقولهم حتى الفيروس يحتاج تدخل المستخدم كي ينتشر بينما الدودة تنتشر بشكل تلقائي. هذ1 يعني حتى العدوى المنتشرة بواسطة البريد الإلكتروني والتي تعتمد على فتح مستلم الرسالة الملف المرفق كي تقوم بإصابة النظام تصنف على أنها فيروسات.

نظرة مقتضبة عن تاريخ الفيروسات والديدان:

قبل حتى يصبح الوصول إلى شبكة الإنترنت واسع الانتشار، كانت الفيروسات تنتشر على الحواسب الشخصية عن طريق إصابة البرامج أوقطاعات الإقلاع التطبيقية للأقراص المرنة. فبإضافتها نسخة عن ذاتها إلى تعليمات لغة الآلة في هذه الملفات التطبيقية، يتسبب الفيروس بتشغيل نفسه حدثا تمتشغيل البرنامج أوتم الإقلاع من القرص. ثمت كتابة الفيروسات الأولى لحواسب Apple II وMacintosh، لكنها أضحت أوسع انتشاراً مع سيطرة أنظمة IBM PC وMS-DOS. فالفيروسات التي تصيب الملفات التطبيقية تعتمد على تبادل المستخدمين للبرامج أوأقراص الإقلاع، لذا انتشرت بشكل كثيف بين هواة الكمبيوتر.

الديدان الأولى أوالبرامج المعدية والتي تسبب عبئاً على الشبكة، لم تبدأ على الحواسب الشخصية فحسب بل على أنظمة Unix متعددة المهام. وأول دودة عهدت بشكل جيد كانت دودة اإنترنت Internet Worm عام 1988 والتي أصابت أنظمة SunOS وVAX BSD. وعلى خلاف الفيروسات فإن هذه الديدان لم تضف نفسها إلى برامج أخرى، بل إنها استغلت ثغرات أمنية في برامج مخدم الشبكة وبدأت بتشغيل نفسها كبرامج مستقلة. وهذا هوالأسلوب المتبع ذاته في الديدان المنتشرة في هذا الوقت.

ومع ظهور أنظمة تشغيل مايكروسوفت ويندوز في التسعينيات، ومع نظام الماكروالمرن في تطبيقاتها، أصبح من الممكن كتابة نص برمجي معدي بلغة الماكروالخاصة بـ Microsoft Word والبرامج الأخرى المشابهة له. وفيروسات الماكروهذه Macro Viruses تصيب المستندات والقوالب بدلاً من حتى تصيب التطبيقات، وتعتمد على كون الماكروفي ملفات وورد هوصيغة من الكود القابل للتطبيق.

واليوم فإن الديدان غالباً ما يتم كتابتها لأنظمة تشغيل ويندوز Windows على الرغم من حتى عدداً آخر منها تتم كتابته لأنظمة وأنظمة الأخرى. وتعمل الديدان اليوم بنفس الكيفية التي عملت بها دودة عام 1988، فهي: - تفحص الشبكة بحثاً عن حواسب عليها خدمات قابلة للاختراق. –تخترق هذه الحواسب. –ومن ثم تنسخ نفسها إليها. إذا انتشار الديدان أصبح وباءً متكرراً لكل من المستخدمين المنزليين والأعمال، لكنها محدودة الضرر نسبياً إذا ما قورنت مع ضرر برامج التجسس spyware.

أساليب الاختفاء: أحصنة طروادة وما يسمى بـ RootKit:

حتى تتمكن أحصنة طروادة من تطبيق مهمتها يجب حتىقد يكون بمقدورها حتى تعمل بدون حتى يتم إغلاقها من المستخدم أومدير النظام التي تعمل عليه. بادء الأمر، الاختفاء هوالكيفية التي تساعد حصان طروادة على بدء العمل في النظام. فعندما يظن المستخدم حتى هذا البرنامج بريء أومرغوب به، قد يتحفز المستخدم لتنصيب البرنامج دون حتى يفهم ما الذي يقوم بعمله هذا البرنامج. وهذه هي التقنية التي يستخدمها حصان طروادة.

وعلى العموم، فحصان طروادة هوأي برنامج يدعوالمستخدم لتشغيله لكنه يخفي في الحقيقة أذىً أونتائج سيئة. فهذه النتائج قد تكون أي شيء: قد تقوم بالعمل مباشرةً كأن يتم حذف جميع ملفات المستخدم، أومن الممكن (وذلك منتشر أكثر) حتى تقوم بدورها بتنصيب برنامج مؤذي في نظام المستخدم لتخدم أهداف منشئ الحصان على المدى البعيد. وأحصنة طروادة المعروفة بـ droppers (تقوم بالإلقاء) تستخدم لبدء انتشار دودة بحقنها هذه الدودة في شبكة المستخدم المحلية.

أحدى أكثر الطرق شيوعاً والتي تنتشر بها برمجيات التجسس هي كأحصنة طروادة موجودة مع برنامج ما آخر مرغوب من قبل المستخدمين يتم إنزاله عن طريق الوب أوشبكات تبادل الملفات بين المستخدمين peer-to-peer file-trading network. وعندما يقوم المستخدم بتنصيب البرنامج يتم تنصيب برنامج التجسس معه. وبعض محرري برمجيات التجسس الذين يحاولون التصرف بشكل قانوني قد يضمنون ضمن اتفاقية الترخيص للمستخدم ما يصف أداء برامج التجسس بعبارات ضمنية، مع معهدتهم بأن المستخدم غالباً لن يقوم بقراءتها أوفهمها.

بعد حتى يتم تنصيب البرمجية الخبيثة على النظامقد يكون من الأفضل في الكثير من الأحيان لمحرر البرمجية حتى تظل مخفية. الأمر ذاته سليم عندما يخترق إنسان ما حاسباً بشكل مباشر. وهذه التقنية التي تعهد باسم RootKits تؤمن هذا الإخفاء وذلك عن طريق تعديل ملفات النظام المضيف بحيثقد يكون البرنامج الخبيث مخفياً عن المستخدم. علاوةً على ذلك قد تقوم الـ RootKit بمنع الإجرائية process الخاصة بالبرمجية الخبيثة من الظهور في قائمة البرامج التي تعمل، أومنع ملفاتها من القراءة. • وفي البداية كانت الـ RootKit (أوأدوات الجذر) مجموعةً من الأدوات التي يتم تنصيبها من قبل الإنسان المخترق على نظام Unix حيث حصل المهاجم على صلاحيات وصول مدير administrator أو(الجذر Root). أما الآن فيتم استخدام المصطلح على مستوى أعم ويطلق على روتينات الإخفاء في البرمجية الخبيثة.

البرامج الخبيثة بهدف الربح: (spyware, botnets, loggers and dialers).

خلال فترة الثمانينيات والتسعينيات كانت الفكرة عن البرامج الخبيثة أنها برمجيات تم إنشاؤها بهدف التخريب أوالمزاح. ولكن وفي الآونة الأخيرة فإن معظم البرمجيات الخبيثة قد تمت كتابتها بدافع ربحي. برغبة من محرري هذه البرامج من السيطرة على الأنظمة المصابة وتحويل هذه السيطرة لتعود عليهم بعائد مادي. ومنذ حوالي عام 2003 أصبحت أكثر البرمجيات الخبيثة كلفةً (من حيث المال والوقت اللازم لاستعادة الأنظمة) هي برامج التجسس Spyware. برامج التجسس هي برامج يتم إنشاؤها تجارياً بهدف *جمع المعلومات عن مستخدمي الكمبيوتر، *إظهار نوافذ إعلانية *وتعديل أداء متصفح الإنترنت ليفيد صانع البرمجية مادياً. وبعض برامج التجسس الأخرى التي شوهدت تعدل على شيفرة داعمي الإعلانات بحيث يصبح الدخل العائد لهم موجهاً إلى منشئ البرنامج الماكر بدلاً من صاحب المسقط الحقيقي.

عادةً ما يتم تنصيب برامج التجسس بشكل أوبآخر من أحصنة طروادة: تختلف بمنشئها، تقدم نفسها بشكل مفتوح على أنها تجارية (على سبيل المثال بيعها مساحة إعلانية على النوافذ التي تظهر من البرنامج). ومعظم هذه البرامج تقدم للمستخدم اتفاقية ترخيص للاستخدام مغزاها حماية منشئ البرنامج من الملاحقة القانونية.

طريقة أخرى شجعت منشئي هذه البرامج على الاستفادة مادياً منها هي استخدامهذه الحواسب لتقوم بالعمل عنهم. ففيروسات السبام (أوالرسائل الغير مرغوبة) ومنها عائلة فيروسات Sobig وMydoom تعمل لصالح عصابات سبام البريد الإلكتروني. فالكمبيوترات المصابة تستخدم كمخدمات وكيلة لإرسال الرسائل الغير مرغوب بها. والفائدة التي يجنيها مرسل الرسائل باستخدامه الكمبيوترات المصابة هي توافرها بكميات كبيرة (كل الشكر للفيروسات!) كما أنها تؤمن لهم الخفاء، وتحميهم بذلك من الملاحقة. كما حتى مرسلي هذه الرسائل قاموا باستخدام الكمبيوترات المصابة لتنظيم هجمات حجب خدمة موزعة تستهدف المؤسسات المضادة لهذا النوع من رسائل الـ Spam.

وحتى يتمكنوا من تنسيق نشاطات عددة كمبيوترات مصابة قام المهاجمون باستخدام أنظمة تنسيق معروفة باسم botnets. في هذه الأنظمة تقوم البرمجية الخبيثة بالدخول إلى قناة IRC ( Internet Relay Chat ) أونظام دردشة آخر. ويستطيع المهاجم إعطاء تعليمات إلى جميع الأنظمة المصابة بنفس الوقت. ومن الممكن استخدام أنظمة BotNets لتحميل نسخة محدثة من البرمجية الخبيثة إلى النظام المصاب لتبقيهم عاصين على مضاد الفيروسات أوأي مقاييس أمنية أخرى.

وأخيراً من الممكن لمنشئ البرمجية الاستفادة مادياً ببساطة بالسرقة من الشخص صاحب الكمبيوتر المصاب. بمعنى أنه من الممكن سرقة حدثات السر أوأي شيء مالي آخر. بعض البرامج تقوم بتنصيب برنامج key logger ليقوم بنسخ ضربات المستخدم على لوحة مفاتيح الحاسب عند إدخاله حدثة سر أورقم بطاقة ائتمانية أوأية معلومة مفيدة أخرى. ومن ثم يتم إرسالها إلى منشئ البرنامج تلقائياً مما يمكنه من سرقة البطاقة الائتمانية وأي شكل آخر من السرقة. وبالطريقة نفسها يمكن للبرمجية نسخ مفتاح القرص الليزري أوحدثة سر للعبة على الإنترنت فتسمح له بسرقة حسابات أوأمور أخرى افتراضية.

وطريقة أخرى للسرقة من الحاسب المصاب هي التحكم بالمودم والقيام باتصالات مرتفع الثمن، ومن ثم هجر الخط مفتوحاً مما يكلف المستخدم فواتير هاتف بمبالغ مالية كبيرة.

العلاج من الإصابة

لسوء الحظ، فإن تنظيف نظام التشغيل مصاب ببرمجية خبيثة ما لم يعد بسيطاً كما كان بادء الأمر. فقد أصبحت هذه البرمجيات صعبة المسح أكثر من ذي قبل، فلا يوجد مضاد فيروسات أومضاد برامج تجسس وحيد قادر على إزالة جميع ما هبط على نظام ما من برامج مؤذية. في الحقيقة لم يعد من المستغرب وجود ترسانة من المنتجات الأمنية، ومضادات الفيروسات وبرامج التجسس وغيرها للتأكد من حتى جميع برنامج مؤذٍ قد تم إزالته بشكل جيد.

انظر ايضا

• Browser exploit
• Category:Web security exploits
• جرائم الحاسوب
• Computer insecurity
• Cyber spying
• Firewall (networking)
• Privacy-invasive software
• Privilege escalation
• Security in Web applications
• Social engineering (security)
• Spy software
• Targeted threat
• Securelist.com
• Web server overload causes
• White collar crime
• Economic and Industrial Espionage

المصادر

وصلات خارجية

• Wikia has a wiki on this subject: Malware Wiki
• أخبار فيروسات الحاسوب
• Malicious Software at the Open Directory Project
• US Department of Homeland Security Identity Theft Technology Council report "The Crimeware Landscape: Malware, Phishing, Identity Theft and Beyond"
• Video: Mark Russinovich - Advanced Malware Cleaning
• An analysis of targeted attacks using malware
• Malicious Programs Hit New High -retrieved February 8, 2008
• Malware Block List
• Open Security Foundation Data Loss Database
• Internet Crime Complaint Center