تجارب شخصية مع الفيروسات (مشاكلها وحلولها)

بسم الله الرحمن الرحيم

الحمد لله .. والصلاة والسلام على خير خلق الله .. وعلى آله وصحبه ومن تبع هداه

تم تحويل الموضوع إلى كتاب إلكتروني بصيغة PDF أنصحكم بتنزيله من هذا الرابط :

۞ في الإعادة إفادة ۞ كتابي الخاص عن فيروسات الكمبيوتر لسنة 2009 بحلة جديدة

۩۩۩۩ تم تعديل الموضوع .. بالأسفل .. بإضافة مشاركات الأعضاء لتجاربهم المفيدة ليتكامل الموضوع في خدمة الجميع .. بارك الله فيكم جميعاً .. ۩۩۩۩


و يمكنكم الآن التفضل بقراءة الجزء الثاني المكمل لهذا الموضوع على الرابط :

۩۩۩۩ تجارب شخصية مع الفيروسات (مشاكلها و حلولها) ۞الجزء الثاني۞ ۩۩۩۩


بعض الملاحظات قبل بداية الشرح أرجو قراءتها :
1-هذا الموضوع كتب لمعرفة طرق الوقاية والعلاج من الإصابة بالفيروسات .. لذلك لا يسمح
باستخدامه للإضرار بأجهزة الآخرين.
2- المعلومات المذكورة بالدرس هي مجرد اجتهاداتي الشخصية .. يعني تقبل الخطأ والصواب ..
لذلك أنا غير مسؤول عن أي أضرار تنتج عنها.
3- هذا أول موضوع أكتبه بمنتدى فاعذروني لو كان طويل أو ممل وغير مرتب ..
أرجو إنه يكون فيه ولو القليل من الفائدة للأعضاء الكرام.

المقدمة
لا يكاد أحد يسلم هذه الأيام من الفيروسات .. صارت زي التحلية مع الكمبيوتر .. يكتشفوا واحد
يطلع ألف .. وكل فترة يتفرمت الجهاز وتعيد تحميل البرامج وتفقد بيانات هامة بسببها .. في هذا
الدرس كتبت تجاربي الشخصية معاها وبعض من أسباب الإصابة
وطرق الوقاية والعلاج اللي أعرفها:


أسباب الإصابة
معظمها يجي من الإيميل أو الفلاش ميموري Flash Desk والبرامج الغير موثوقة
.. لكنها غالباً لا يتم تفعيلها إلا إذا نقرت عليها لأنها برامج تنفيذية .. فيه أنواع تعمل
بدون نقر يسموها برامج سكربت Script Programs لا أعرف عنها الكثير وأعتقد
إلغاء خاصية Script من الجهاز يمنع عملها لكنها ليست موضوعي ..
أول شيء هذه بعض الأمثلة لأشكال الفيروسات:







لاحظوا إن امتداد الفيروس غالباً يكون exe,cmd,scr,com,bat
أما الامتدادان log & dll فالفيروس بداخلهم ولا ينفذ مباشرة .
حجم الفيروس غالباً صغير بالكيلو بايت.
معظمها مخفية ولا يمكن جعلها مظهرة لأن خاصية الإخفاء ملغية.



إذا كانت ظاهرة تكون بأشكال متعددة مثل شكل المجلد عشان تغلط وتنقر عليها
ويشتغل الفيروس.

السؤال هنا كيف يتم تفعيل الفيروس؟
عادة مع الفيروس يجي ملف autorun.inf ينسخ على سطح الفلاش ميموري
Flash Desk أو الهاردسك Hard Desk .. هذا الملف يستخدم في السيديات CD Autorun
لتشغيل تطبيق معين له واجهات أو عرض ما .. لكنه يوضع مع الفيروس لكي يتم تشغيله بواسطته.

المشاكل التي تحدثها الفيروسات؟
إخفاء المجلدات والملفات المخفية ومنع الوصول لخيارات المجلد Folder options
وإدارة المهام Task Manager ومحرر تسجيل ويندوزWindows Registry واستهلاك
موارد الجهاز الذي يؤدي إلى بطء الجهاز الملحوظ.
تكمن الخطورة إذا كان الفيروس من النوع الذي ينتشر في الجهاز ويصيب
كل برنامج وتطبيق وصفحات الانترنت وملفات النظام.

كيف أعرف إن الجهاز مصاب؟
غالباً الفيروس ينسخ نفسه وملف الاوتورن على كل الأقراص الصلبة .. لكن إذا أصابك
لن تستطيع الوصول لخيارات المجلد لإظهار الملفات المخفية .. عشان كذا لازم يكون
عندك برنامج الضغط WIN RAR .. ممكن تستغرب أيش دخله بالموضوع؟!
.. هذا البرنامج يظهر جميع الملفات المخفية دائماً .. يعني تروح للقرص الصلب
من داخل البرنامج وتشوف إذا حصلت ملف autorun.inf ومعه تطبيق غريب أول شيء
تفتح autorun.inf .. لا يضر فتحه لأنه زي المفكرة .. إذا كان بداخله اسم التطبيق
معناه إنه فيروس مثل الصيغة التالية:




التجارب الشخصية
هنا نشرح بعض الفيروسات التي أصابت جهازي أو أجهزة زملائي والملاحظات عليها:

OSO.exe
هذا الفيروس جاء على شكل مفكرة بحجم 95 KB ومرة أخرى بحجم 48 KB
.. مع هذا الحجم البسيط اعتقدت إنه فعلاً ملف مفكرة لكن لما فتحته لم يفتح شيء
وهنا عرفت إنه فيروس خاصة بعد ظهور اسم تطبيق غريب في إدارة المهام Task Manager.



ينسخ هذا الفيروس نفسه بأسماء مختلفة لها نفس الحجم هي:
severe.exe و tfidma.exe و tfidma.dll .. ملف النظام الأخير حجمه 38 KB ..
في مجلد النظام System بالنسبة لنظام Windows ME و مجلد System32
بالنسبة لنظام Windows XP. النوع الثاني اللي حجمه 48KB ضرره أقل
ولا ينسخ نفسه في مجلد النظام.



ثم يعمل مع بدأ التشغيل عشان ما تقدر تحذفه بشكل مباشر لو قدرت تشوفه.



New Folder.exe
هذا فيروس قديم بس للي ما يعرفه .. طريقة عمله هي إنه يعمل داخل كل مجلد نسخه
منه لها نفس اسم المجلد وكلها بحجم الفيروس الأصلي.



NIDEIECT.com
وهذا الفيروس له أنواع كثيرة يتغير فيها الاسم قليلاً وأنواع أخرى مختلفة في الاسم
لكن جميعها لها نفس العمل كما في الصورة.



هذا الفيروس مشابه لـ OSO.exe في ناحية انك ما تقدر تحذفه مباشرة لأنه يرجع مرة ثانية
في جميع الأقراص لأنه ينسخ amvo.exe و amvo0.dll
إلى مجلد النظام System32 وثم يضعهم في قائمة بدء التشغيل.





اسم هذا الفيروس يشبه اسم ملف النظام الموجود على قرص C
وهو NTDETECT.COM لذلك أرجو الحذر من الخلط بينهما .. عندي زميل اعتقد
إنه فيروس فحذفه فاضطر يفرمت الجهاز .. لذلك لازم تتأكد من اسم الفيروس في ملف
autorun.inf عشان تحذفه.





الفيروسات أحياناً تأخذ أسماء ملفات نظام مثل NTDETECT
و CTFMON و SMSS و SCVHOST لذلك يجب الحذر عند حذفها
.. والأفضل تغيير امتداد الملف المشكوك فيه إلى امتداد غير تنفيذي عشان في حالة
حصلت مشكلة بسببه تقدر ترجع الملف عن طريق نظام تشغيل يقلع من السيدي مباشرة
مثل Windows Pre-installation Environment.


Sservice.exe
ينسخ نفسه في مجلد System بثلاث أسماء هي
fservice.exe و services.exe و lncom.exe لكن الحجم وشكل الأيقونة هو المشترك بينهم
.. عمل بطء وأضاف قيم في الملف win.ini تخليه يعمل بنسخ كثيرة في الذاكرة
( هذا في نظام Windows ME ).



Pagefile.pif
هذا الفيروس الصيني المعروف اللي سوى بلاوي للناس قبل فترة .. يمكن 8 أشهر ..
أصاب الجهاز عندي بسبب غلطة .. دخلت القرص بالنقر بالزر الأيمن ثم الأمر فتح
وهذا شغل الفيروس .. وتسبب بحذف أكثر من 8500 برنامج وصفحة انترنت من جهازي
خلال يومين فقط من إصابته للجهاز. يشبه ملف الدوس في الأيقونة ولا يخفي
عرض الملفات المخفية عندما يتم تفعيله .. لذلك لم أكتشفه بسرعة .. فقط يخفي
إظهار ملفات النظام و بعدها يبدأ من قرص C إلى آخر قرص بنسخ نفسه في كل برنامج
و صفحة انترنت .. وأكيد إذا استخدمت برنامج فيروسات بعدها بيحذف ملفات
نظام التشغيل وبيكون لازم تفرمت الجهاز .. لكن بالأساس لايمكنك الفيروس
من تحميل البرامج ويمنع فتح بعضها .. مثل win rar و Realplayer ..



zPharaoh.exe
هذا الفيروس مشابه في كبر أضراره لفيروس Pagefile .. أيضاَ ظهر قريب ..
تقريباً نفس الوقت .. لكنه تميز بأنه ينسخ نفسه في كل مجلد في الجهاز بأسماء
و أيقونات و أحجام مختلفة .. هذا بالإضافة لنسخه نفسه في معظم البرامج ..
وأكيد الجهاز لازم يتفرمت بعدها. للمعلومة أنا لم أصاب بهذا الفيروس لكنني أدخلت
الهاردسك Hard Desk في جهاز مصاب مدة تقارب الربع ساعة وكان قد نسخ نفسه
بأكثر من 600 برنامج .. في الصورة بعض الأشكال المختلفة التي ينتجها هذا الفيروس.



Ctfmon.exe
يخفي نفسه هذا الفيروس داخل مجلد بأيقونة سلة المحذوفات Recycle
لكن ملف autorun.inf يفضح موقعه كما بالصورة.





طرق الوقاية
أولاً حدث برنامج الفيروسات أول بأول لتقليل احتمال الإصابة بالفيروسات لا يهم
ماهو نوع البرنامج إذا لم يتم تحديثه دورياً.

ثانياً لا تعتمد اعتماد كامل على برنامج الفيروسات .. لأنه إلى أن تكتشف شركة
البرنامج المضاد للفيروسات الفيروس الجديد يكون هذا الفيروس أصاب الآلاف
.. وقد تكون لا قدر الله منهم .. عشان كذا انتبه من البرامج والكراكات الغير مضمونة
ولا تتهاون فيها .. الملفات التي ترسل في المحادثات أو الجروبات على أساس إنها صورة
أو فيديو ممكن تكون مدمج معها فيروسات .. وأهم نقطة لا تفتح الفلاش
ميموري Flash Desk بالنقر المزدوج أو بالنقر باليمين ثم الأمر فتح ..
هذه الطريقتين تشغل الفيروس ..





الطريقة الآمنة والمجربة عند كثير من زملائي هي الدخول من مستكشف
ويندوز Windows Explorer .. إما من أيقونة مجلدات التي في أعلى الصفحة
حق جهاز الكمبيوتر أو من قائمة إبدأ .. ثم البرامج .. ثم البرامج الملحقة ..
ثم مستكشف Windows.



أو من الشريط الموجود أعلى الصفحة المحتوي على الأقراص الصلبة.



ثالثاً عند توصيل الفلاش ميموري Flash Desk لازم تستمر بالضغط على مفتاح Shift إلى
أن ينتهي التعرف على الفلاش .. هذه الطريقة مهمة جداً في نظام Windows ME أما
في نظام Windows XP فمن باب الاحتياط .. لأنه قد يدخل مباشرة للفلاش
بدون إظهار النافذة التالية:



العلاج
الفيروسات اللي تنتشر زي الدودة مثل zPharaoh.exe و Pagefile.pif مالها علاج غير
إنك تفحص الجهاز أولاً ببرنامج فيروسات محدث .. بعد الفحص النظام ما راح يقلع لأنه
ملفات النظام أيضاَ أصيبت بالفيروس .. وثانياَ تحمل النظام من أول وجديد ..
وأهم نقطة تحذف كل البرامج اللي كانت على الجهاز ذلك الوقت أو تفحصها
بعناية شديدة عشان ما يرجع لك الفيروس أو ينتقل لغيرك.

أما الفيروسات العادية التي تنسخ نفسها على الأقراص الصلبة فقط فيمكن حذفها
من كل الأقرص وتنتهي مشكلتها .. يمكن حذفها ببرنامج مثل anti_autorun أو مباشرة
ببرنامج win rar .. تحذفها من كل قرص ..

هناك فيروسات تنسخ نفسها على الأقراص الصلبة وأيضاَ داخل مجلد System32
عشان ما تقدر تحذفها لأنها تعيد نسخ نفسها كلما حذفتها.. وعلاجها أولاً إنك تعرف
اسم البرنامج المنسوخ داخل مجلد النظام System32 مثل ما ذكرت في فيروس
OSO.exe كان ينسخ severe.exe و tfidma.exe و tfidma.dll وكان يضع التطبيقين في
قائمة بدء التشغيل و مثل NIDEIECT.com وهو منتشر كثيراً والذي ينسخ amvo.exe
و amvo0.dll إلى مجلد النظام System32 ويضع التطبيق amvo.exe في قائمة
بدء التشغيل .. وحذف هذا النوع بدون برنامج مضاد فيروسات يكون كالتالي:

أولاً تلغي الفيروس من بدء التشغيل .. تفتح قائمة أبدأ Start Menu
.. ثم الأمر تشغيل Run .. ثم تكتب الأمر msconfig .. يظهر لك نافذة تختار التبويب
بدء التشغيل Start up وتشيل علامة الصح من الفيروس ..
راجع مثال NIDEIECT.com و amvo.exe بالأعلى ...







ثانياً تعيد تشغيل الجهاز ثم تحذف الفيروس من جميع الأقراص
الصلبة و تحذف amvo.exe و amvo0.dll من C:\WINDOWS\system32 .. لكن الفيروس
مخفي لذلك لازم تحذفها كلها عن طريق استخدام برنامج win rar واستخدام
أداة البحث التابعة للبرنامج لإيجاد الفيروس.


تبقى بعض آثار الفيروس مثل عدم ظهور الملفات المخفية وإدارة المهام وغيرها ..
يمكنك إرجاعها ببرنامج مثل RRT Remove Restrictions Tool .. لايوجد لدي رابط
لكنه موجود بالمنتدى.


ملاحظة
هذا الدرس بالكامل موجود على شكل صفحة انترنت مضغوطة بـ win rar ..
لمن لم تظهر الصور عندهم.. حجمه 1.73 MB




تم فحصه ببرنامج الآفيرا Avira Antivir لكنه محدث من شهر بتاريخ 7-11-2008
حسب الصورة .. في الصورة الشهر مقدم على الأيام .. ولا توجد به فيروسات.





هذا ما يمنع إنك تفحصه ببرنامجك الخاص من باب الاحتياط .. الحذر واجب وهو أساس
سلامة جهازك.

تم بحمد الله و شكره و توفيقه

خاتمة
هذا الجهد المتواضع والمليء بالقصور والأخطاء إهداء لمنتدى المشاغب الذي عرفته
عن قريب واستفدت منه الكثير الكثير .. لكنني للأسف لا أستطيع تقديم شيء
مفيد للمنتدى .. وكان هذا هو الشيء اللي أقدر أفيد به ولو قليلاً.

وعندي طلبين:
الأول: ياليت كل واحد عنده تجربة مع الفيروسات يشاركنا الفائدة بها عشان يتكامل الموضوع.

الثاني: لو استفاد أحد من هذا الموضوع ياليت يدعي لي ولوالدي ولأهلي وأحبائي
والمسلمين بالمغفرة والهداية والتوفيق وخاصة لوالدتي بالشفاء العاجل
,, وأسأل الله عز وجل له أضعاف ذلك.

وقانا الله وإياكم شر الفيروسات .. ودمتم في رعاية الله وحفظه.