رونق الامل
23 Nov 2012, 07:40 PM
فيروسات التشغيل الذاتي ماهي؟ وكيف نتجنبها؟
وجدي عصام عبد الرحيم
http://www.lahaonline.com/media/images/articles//howitorks/thumbnail/th_254ytr765ytr675rt7.jpg
الـ Auto-Run والـ Auto-Play هي إحدى مكونات أنظمة التشغيل Windows من ميكروسوفت، والتي تُحدد الحدث الذي يقوم به النظام عند توصيل الأقراص في المشغل الخاص بها، وإلى صدور نظام Windows XP كان المصطلحان يشيران لنفس الخاصية.
وظيفة الـ Auto-Run هي تشغيل برنامج معين بداخل القرص بمجرد توصيل القرص في المشغل، كما تستخدم هذه الخاصية فقط في الأقراص المضغوطة CD/DVD ولا يمكن أن تستخدم لأي نوع أخر (مثل USB/Flah Disk).
أما الـ Auto-Play فهي خاصية في أنظمة الويندوز (بدءا من Windows XP) تقوم بفحص محتوى القرص (سواء CD / Flash Disk) وبعد التعرف على محتويات القرص (هل هي صور أم صوتيات أم فيديو) تقوم بعرض نافذه يقوم المستخدم من خلالها بتحديد البرنامج المناسب لفتح القرص.
وإذا وجد ملف الـautorun.inf في مسار القرص فقد يضيف بعضا من الخيارات في تلك النافذة.
كيف استغلت الفيروسات والبرامج الخبيثة Malware هذه الخصائص؟
بالرغم من وجود خاصية الـ auto-run في الأقراص المضغوطة CD إلا أنها لم تستغل كثيراً كما هو الحال في الـ Flash Disks والسبب هو سهوله حملها وتوصيلها من جهاز أخر، لكن العائق الذي واجهه كاتبي الفيروسات هو أن الـ USB/Flash Disks لا توجد فيها خاصية الAuto-Run وبالتالي ترَكزَ التفكير حول استغلال خاصية الـ Auto-Play والتي تدعمها جميع الأقراص حتى يتم نشر الفيروسات.
من سوء حظ المستخدمين، أن كتابة ملف الـ autorun.inf لا يأخذ سوى دقائق معدودة لإعداده، بل هناك برامج مساعدة تمكنك من توليد ملف Autorun.inf بمجرد النقر على عدة من الخيارات (لاحظ أن ملفات Autorun.inf بحد ذاتها ليست خطراً أو أنها هي الفيروس بعينه، ولكنها هي فقط وسيلة لتشغيل الفيروس أو البرنامج وهنا تكون المشكلة).
يتكون الـ Autorun.inf من عدة خيارات منها تحديد أيقونة icon القرص عند تركيبه وتحديد البرنامج الذي سيعمل فور تشغيل القرص بالإضافة إلى اسم القرص Label والذي سيظهر بجانب حرف السواقة.
لاحظ أن ملف الautorun.inf لكي يعمل بشكل صحيح يجب أن يكون اسمه Autorun.inf أو Autorun.INF .
بعض الأحيان يكون كاتب الفيروس أكثر ذكاءً كما حصل في الدودة الأخيرة Conficker والتي أصابت الملايين من الأجهزة حول العالم في 2008 وبداية 2009، فكاتب الفيروس أخرج نافذة Auto-Play ولكن الخيار الأول جعله شبيه بالخيار الافتراضي في ويندوز مما أمكنة من خداع الكثير من المستخدمين.
كيف يمكن منع هذه الفيروسات من العمل والحماية منها
الوقاية خير من العلاج ، وفيروسات الـ Auto-Play سببت الكثير من الأضرار في السنوات السابقة، مما دفعت شركة مايكروسوفت بتعطيل هذه الخاصية بدئا من إصدارات ويندوز الجديدة Windows 7 .
ولكن في حال كان المستخدم يعمل في نظام windows مختلف فما زال بإمكانه تعطيل هذه الخاصية يدوياً أو من خلال برنامج Checker CoEIA Auto-Run والذي يفحص النظام ويري هل خاصية Auto-Run مفعلة أم غير ذلك ويعطي المستخدم قابلية تغيير ذلك بسهولة.
ولتعطيل هذه الخاصية يدوياً يمكن القيام بها بطريقتين، إما باستخدام مسجل النظام Registry أو من خلال برنامج Group Policy وكلاهما يعطيان نفس النتيجة.
لتعطيل الخاصية من جميع الأقراص قم من قائمة start بفتح run ثم بكتابة الأمر gpedit.msc والذهاب للمفتاح التالي: User Configuration ->Administrative Template -> System -> Turn off AutoPlay ثم نقوم بتحديد Enabled واختر لجميع الأقراص، وهكذا تم تعطيل الخاصية بنجاح.
أسهل طريقة لتجنب مشكلة الفتح التلقائي.
ماذا لو لم تستطيع تغيير أي قيمة ولم تعرف هل الخاصية مفعلة أم غير مفعلة؟
في هذه الحالة عند توصيلك للFlash Disk العادي لا تقم بفتحه من خلال الضغط مرتين أو من خلال إحدى الأوامر الموجودة في قائمه الزر الأيمن لأنها قد تكون متلاعبة بها، الحل الأفضل هو فتح الFlash Disk من خلال شريط العناوين Address bar ، أو من خلال إحدى برامج الضغط مثل Winrar .
أما عند توصيلك للـ SanDisk Flash Disk فقم باستمرار بالضغط على Shift فهي كفيلة بتعطيل التشغيل التلقائي للبرنامج.
================
بالتعاون مع مركز أمن المعلومات
لها أون لاين
وجدي عصام عبد الرحيم
http://www.lahaonline.com/media/images/articles//howitorks/thumbnail/th_254ytr765ytr675rt7.jpg
الـ Auto-Run والـ Auto-Play هي إحدى مكونات أنظمة التشغيل Windows من ميكروسوفت، والتي تُحدد الحدث الذي يقوم به النظام عند توصيل الأقراص في المشغل الخاص بها، وإلى صدور نظام Windows XP كان المصطلحان يشيران لنفس الخاصية.
وظيفة الـ Auto-Run هي تشغيل برنامج معين بداخل القرص بمجرد توصيل القرص في المشغل، كما تستخدم هذه الخاصية فقط في الأقراص المضغوطة CD/DVD ولا يمكن أن تستخدم لأي نوع أخر (مثل USB/Flah Disk).
أما الـ Auto-Play فهي خاصية في أنظمة الويندوز (بدءا من Windows XP) تقوم بفحص محتوى القرص (سواء CD / Flash Disk) وبعد التعرف على محتويات القرص (هل هي صور أم صوتيات أم فيديو) تقوم بعرض نافذه يقوم المستخدم من خلالها بتحديد البرنامج المناسب لفتح القرص.
وإذا وجد ملف الـautorun.inf في مسار القرص فقد يضيف بعضا من الخيارات في تلك النافذة.
كيف استغلت الفيروسات والبرامج الخبيثة Malware هذه الخصائص؟
بالرغم من وجود خاصية الـ auto-run في الأقراص المضغوطة CD إلا أنها لم تستغل كثيراً كما هو الحال في الـ Flash Disks والسبب هو سهوله حملها وتوصيلها من جهاز أخر، لكن العائق الذي واجهه كاتبي الفيروسات هو أن الـ USB/Flash Disks لا توجد فيها خاصية الAuto-Run وبالتالي ترَكزَ التفكير حول استغلال خاصية الـ Auto-Play والتي تدعمها جميع الأقراص حتى يتم نشر الفيروسات.
من سوء حظ المستخدمين، أن كتابة ملف الـ autorun.inf لا يأخذ سوى دقائق معدودة لإعداده، بل هناك برامج مساعدة تمكنك من توليد ملف Autorun.inf بمجرد النقر على عدة من الخيارات (لاحظ أن ملفات Autorun.inf بحد ذاتها ليست خطراً أو أنها هي الفيروس بعينه، ولكنها هي فقط وسيلة لتشغيل الفيروس أو البرنامج وهنا تكون المشكلة).
يتكون الـ Autorun.inf من عدة خيارات منها تحديد أيقونة icon القرص عند تركيبه وتحديد البرنامج الذي سيعمل فور تشغيل القرص بالإضافة إلى اسم القرص Label والذي سيظهر بجانب حرف السواقة.
لاحظ أن ملف الautorun.inf لكي يعمل بشكل صحيح يجب أن يكون اسمه Autorun.inf أو Autorun.INF .
بعض الأحيان يكون كاتب الفيروس أكثر ذكاءً كما حصل في الدودة الأخيرة Conficker والتي أصابت الملايين من الأجهزة حول العالم في 2008 وبداية 2009، فكاتب الفيروس أخرج نافذة Auto-Play ولكن الخيار الأول جعله شبيه بالخيار الافتراضي في ويندوز مما أمكنة من خداع الكثير من المستخدمين.
كيف يمكن منع هذه الفيروسات من العمل والحماية منها
الوقاية خير من العلاج ، وفيروسات الـ Auto-Play سببت الكثير من الأضرار في السنوات السابقة، مما دفعت شركة مايكروسوفت بتعطيل هذه الخاصية بدئا من إصدارات ويندوز الجديدة Windows 7 .
ولكن في حال كان المستخدم يعمل في نظام windows مختلف فما زال بإمكانه تعطيل هذه الخاصية يدوياً أو من خلال برنامج Checker CoEIA Auto-Run والذي يفحص النظام ويري هل خاصية Auto-Run مفعلة أم غير ذلك ويعطي المستخدم قابلية تغيير ذلك بسهولة.
ولتعطيل هذه الخاصية يدوياً يمكن القيام بها بطريقتين، إما باستخدام مسجل النظام Registry أو من خلال برنامج Group Policy وكلاهما يعطيان نفس النتيجة.
لتعطيل الخاصية من جميع الأقراص قم من قائمة start بفتح run ثم بكتابة الأمر gpedit.msc والذهاب للمفتاح التالي: User Configuration ->Administrative Template -> System -> Turn off AutoPlay ثم نقوم بتحديد Enabled واختر لجميع الأقراص، وهكذا تم تعطيل الخاصية بنجاح.
أسهل طريقة لتجنب مشكلة الفتح التلقائي.
ماذا لو لم تستطيع تغيير أي قيمة ولم تعرف هل الخاصية مفعلة أم غير مفعلة؟
في هذه الحالة عند توصيلك للFlash Disk العادي لا تقم بفتحه من خلال الضغط مرتين أو من خلال إحدى الأوامر الموجودة في قائمه الزر الأيمن لأنها قد تكون متلاعبة بها، الحل الأفضل هو فتح الFlash Disk من خلال شريط العناوين Address bar ، أو من خلال إحدى برامج الضغط مثل Winrar .
أما عند توصيلك للـ SanDisk Flash Disk فقم باستمرار بالضغط على Shift فهي كفيلة بتعطيل التشغيل التلقائي للبرنامج.
================
بالتعاون مع مركز أمن المعلومات
لها أون لاين