لم يكد مستخدمو الحاسبات في العالم يفيقون من كابوس فيروس' الكود الأحمر' حتي ظهر وحش جديد يهدد مستخدمي الحاسبات الشخصية الذين يتعاملون بنظم النوافذ المختلفة ومستخدمي شبكة الإنترنت. وأسم الفيروس الجديد
Nimda
وقد ضرب هذا الفيروس بعنف القارة الأمريكية واليابان وأستراليا ولا يزال تأثيره محدودا في أوروبا والشرق الأوسط, وقد أغلقت مواقع العديد من البنوك والجامعات ووكالات الأنباء والصحف باليابان. كما أوقفت السويد بعض مواقعها الحكومية علي شبكة الإنترنت. ويقول الخبراء أن الفيروس ليس مبرمجا لإصابة دول دون دول أخري ولكن ربما ترجع كثافة الإصابة بدولة الي بداية ظهور وانتشار الفيروس بها, وكان أول ظهور لهذا الفيروس يوم18 سبتمبر2001 ولكن في فترة قصيرة استطاع أن يصيب عددا كبيرا من الشركات الأمريكية ومواقع شبكة الإنترنت. وأعلن المسئولون عن موقع البحــــث العالمي
Yahoo
أن الشركة قد أصيبت بهذا الفيروس ولكن لحسن الحظ كانت الإصابة في شبكة حاسبات الشركة الداخلية وليس في مواقع الشركة علي شبكة الإنترنت. ولم يتم التعرف علي الدولة التي تم تطوير هذا الفيروس الخطير بها حتي اليوم, وبعض الباحثين يحاولون الربط بين الفيروس والحوادث الإرهابية التي وقعت في نيويورك وواشنطن لأن الفيروس بدأ يضرب مواقع الشركات الأمريكية بعد أسبوع واحد من حدوث الحوادث الإرهابية ولكن المدعي العام الأمريكي جون أشكروفت يقول أنه لا توجد أدلة علي هذه العلاقة.
وقد قامت معظم الشركات المنتجة لبرامج مقاومة الفيروسات بتطوير برامجها للتعامل مع هذا الفيروس الحديث. ونحن ننصح القراء مستخدمي الحاسبات الشخصية وشبكة الإنترنت بضرورة تحديث برامج مقاومة الفيروسات بأحدث الإصدارات الموجودة بمواقع هذه الشركات علي شبكة الإنترنت.
طرق انتشاره
طريقة انتشار هذا الفيروس تعتبر الأخطر بين كل الفيروسات التي عاني منها مستخدمو الحاسبات الإلكترونية منذ اختراعها.
* الطريقة الأولي من خلال البريد الإلكتروني: يستخدم الفيروس البريد الإلكتروني لكي يصيب مستخدمي الرسائل الإلكترونية حيث يقوم الفيروس فور إصابة أي جهاز بقراءة عناوين البريد الإلكترونية التي توجد في هذا الجهاز ثم يرسل نسخا منه الي كل هذه العناوين, ويضع الفيروس نفسه في ملف ملحق بالرسالة, وهذا الملف يظهر للمستخدم علي إنه ملف موسيقي لكي يغري المستخدم علي فتح الملف فيصيب الفيروس حاسبه. ولكن الخطير والجديد في هذا الفيروس أن مستخدمي برامج
Outlook
للتعامل مع البريد الإلكتروني سيكونون عرضه للإصابة بهذا الفيروس بمجرد فتح الرسالة أي قبل أن يقوم بتشغيل الملف الملحق وهنا تكمن الخطورة. فالفيروسات السابقة كانت تحتاج الي تشغيل الملف الملحق بالرسالة حتي ينشط الفيروس ويصيب الجهاز وهي الخطوة التي تغلب عليها الفيروس الجديد.
* الطريقة الثانية من خلال مواقع الإنترنت: هذه الطريقة أيضا شديدة الخطورة وتعتبر تطورا تقنيا جديدا في مجال الفيروسات. عند دخول المستخدم علي موقع مصاب بشبكة الإنترنت فإن الموقع سيفتح للمستخدم صفحة جديدة ينفذ من خلالها مجموعة أوامر بلغة الجافا تعمل علي نقل الفيروس الي حاسب المستخدم الذي يزور الموقع. وبالطبع نحن لا نعرف ما هي المواقع المصابة وما هي المواقع السليمة كما قد لا يعرف المسئولون عن الموقع أنفسهم أن الموقع مصاب.
آثاره التدميرية
هذا الفيروس يصيب نوعين من الحاسبات وهما الحاسب الشخصي العادي والحاسبات الخادمة الكبيرة
Servers
التي تستضيف مواقع الإنترنت. وطريقة تصرف الفيروس مع الحاسب المصاب تتوقف علي نوعية هذا الحاسب.
الحاسب الشخصي العادي:
ـ يبدأ الفيروس البحث عن ملفات البرامج من نوعية
*.EXE
لكي يصيبها فتصبح بذلك وسيلة لانتشار الفيروس عند تشغيل هذه البرامج.
ـ يتم البحث عن عناوين البريد الإلكتروني التي توجد علي الحاسب المصاب ثم يقوم الفيروس بإرسال رسالة إلكترونية لكل هذه العناوين تحتوي علي نسخة من الفيروس وقد تكون الرسالة بعنوان أو بدون عنوان. وهذه الطريقة هي أوسع الطرق نشرا للفيروسات.
ـ يقوم الفيروس بوضع نفسه داخل مجلد النوافذ تحت اسم
LOAD.EXE
كما يضيف أمرا جديدا الي أحد ملفات النظام وهو
SYSTEM.INI
ـ قد يقوم الفيروس بإنشاء ملفات تسمي
README.EML أوDESKTOP.EML
في معظم مجلدات الحاسب وقد يؤدي ذلك الي ملء وحدة التخزين الرئيسية بالكامل.
* يقوم الفيروس بوضع نسخ منه في كل الوحدات الفرعية لوحدة التخزين الرئيسية مثل
C: وD: وE:
وذلك في صورة ملف باسم
ADMIN.DLL
هذا الاسم هو أسم أحد ملفات نظام تشغيل شركة مايكروسوفت وهو
FrontPageServer)
الحاسبات الخادمة:
ـ يقوم الفيروس بالبحث داخل شبكة الحاسبات المحلية
LAN
عن الحاسبات المتصلة بالشبكة
ـ يقوم الفيروس بتحويل وحدات التخزين الرئيسية لحاسبات الشبكة الي خاصية المشاركة
Sharing
أي إمكانية تبادل الملفات فيما بينها.
ـ يقوم الفيروس بنقل نسخة منه الي كل وحدات التخزين الموجودة في حاسبات الشبكة.
ـ يقوم الفيروس بالبحث عن الحاسبات الخادمة الموجودة علي الشبكة ثم يبحث عن جميع الملفات التي من نوع.
ASP و.HTM و.HTML
وهي صفحات الإنترنت, ثم ينقل نفسه الي هذه الصفحات ومعها بعض أوامر لغة الجافا. فإذا قام زائر للموقع بفتح إحدي الصفحات المصابة فسيتم تنفيذ أوامر لغة الجافا التي تنقل الفيروس الي الحاسب الشخصي لهذا الزائر.
علامات الإصابة
يمكن تشخيص الإصابة من العلامات التالية:
* وجود الملفات التالية:
وجود ملف
README.EML
في أي مجلد من مجلدات وحدة التخزين الرئيسية.
* تحويل إحدي وحدات التخزين أو أحد المجلدات الي خاصية المشاركة
sharing
دون أن تطلب ذلك.
