الفيروسات والبرمجيات الخبيثة: أنواعها، استخداماتها، وما تفعله بجهازك
دليل شامل ومعمّق حول أبرز أنواع البرمجيات الخبيثة التي رصدتها أدوات الأمان الحديثة، من فيروسات الاستغلال إلى أحصنة طروادة وديدان الشبكة، مع شرح وافٍ لآليات عملها وطرق الحماية منها.
مقدمة: نشأة البرمجيات الخبيثة وتطورها
البرمجيات الخبيثة (Malware) مصطلح جامع يشمل كل برنامج أو شيفرة برمجية صُمِّمت بقصد إلحاق الضرر بالأنظمة الحاسوبية، أو سرقة البيانات، أو التجسس على المستخدمين دون علمهم أو موافقتهم. لم تظهر هذه البرمجيات فجأة؛ بل مرّت بمراحل تطورية طويلة تمتد من أوائل السبعينيات حتى يومنا هذا.
يُعدّ فيروس "Creeper" الذي ظهر عام 1971 على شبكة ARPANET من أولى البرمجيات التي يمكن تصنيفها ضمن هذا المجال، إذ كان ينتشر بين الأجهزة ويعرض رسالة نصية على الشاشة. لم يكن ضارًا بالمفهوم الحديث، لكنه أرسى المفهوم. في الثمانينيات، ظهر أول فيروس حقيقي يستهدف أجهزة IBM PC وهو "Brain" عام 1986، الذي صنعه أخوان باكستانيان بنيّة تتبع نسخ برامجهما المقرصنة، فانتشر بشكل غير متوقع.
في التسعينيات، انفجر عدد الفيروسات مع انتشار الإنترنت والبريد الإلكتروني. وفي مطلع الألفية الثالثة، أصبحت البرمجيات الخبيثة أداة للجريمة المنظمة والتجسس الحكومي. أما في العقد الثاني، فقد شهدنا تحولًا نحو برامج الفدية (Ransomware) وسرقة العملات الرقمية وهجمات الاستهداف الدقيق.
اليوم، تُصنَّف البرمجيات الخبيثة وفق معايير متعددة: آلية الانتشار، والهدف المقصود، والمنصة المستهدفة (ويندوز، أندرويد، iOS، إلخ). وقد كشف برنامج Microsoft Safety Scanner عن مجموعة متنوعة من هذه البرمجيات، تشمل ثغرات استغلال، وأحصنة طروادة، وفيروسات VBS، وأدوات اختراق، وديدان شبكية — وهو ما سنتناوله بالتفصيل في هذا المقال.
أولاً: ثغرات الاستغلال — Exploit
ما هو الـ Exploit؟
الـ Exploit (ثغرة الاستغلال) هو قطعة من الشيفرة البرمجية، أو سلسلة بيانات، أو تسلسل من الأوامر تستغل خللًا أو ثغرة أمنية موجودة في برنامج أو نظام تشغيل أو بروتوكول شبكي. الهدف منها دائمًا إما الوصول غير المصرح به إلى النظام، أو تصعيد الصلاحيات، أو تعطيل الخدمة. ما يميز الـ Exploit هو أنه لا يعمل بمفرده، بل يحتاج إلى ثغرة قائمة فعلاً ليستغلها.
من أبرز الأمثلة في قائمة Microsoft Safety Scanner: Exploit:AndroidOS/CVE-2011-1823!rfn — وهذا المعرّف يشير إلى ثغرة موثّقة في نظام أندرويد تحمل رقم CVE-2011-1823. هذه الثغرة تتعلق بالمكوّن "GingerBreak" الذي يسمح لتطبيق خبيث بالحصول على صلاحيات الجذر (Root) دون إذن المستخدم. الاختصار "rfn" يشير إلى طريقة أو نوع المجموعة البحثية الداخلية لمايكروسوفت.
تُصنَّف ثغرات الاستغلال إلى عدة أنواع بحسب الموقع الذي تستهدفه: ثغرات المتصفح (Browser Exploits)، وثغرات النواة (Kernel Exploits)، وثغرات التطبيقات (Application Exploits)، وثغرات البروتوكولات الشبكية. وكل نوع يحمل خصائص مختلفة من حيث الخطورة وصعوبة الاكتشاف.
ما يجعل CVE-2011-1823 خطيرة رغم مرور أكثر من عشر سنوات على اكتشافها هو أن ملايين الأجهزة تعمل بنسخ أندرويد قديمة لم تتلقَّ تحديثات أمنية — وهي ظاهرة شائعة في الأجهزة منخفضة التكلفة في الأسواق الناشئة. لذا تظل هذه الثغرة سلاحًا فعّالًا في يد المهاجمين.
تعمل ثغرات الاستغلال عادةً كـ"ناقل هجوم" (Attack Vector) — أي أنها الطريقة التي يدخل من خلالها المهاجم، لكن الضرر الحقيقي يحدث لاحقًا عبر برمجية خبيثة أخرى تُحمَّل بعد اختراق النظام. لهذا كثيرًا ما تُستخدم مقترنةً بأحصنة طروادة أو برامج التجسس.
ثانياً: أحصنة طروادة — Trojans
الفكرة والآلية
حصان طروادة (Trojan Horse) هو برنامج يظهر للمستخدم بمظهر بريء أو مفيد — كلعبة، أداة مساعدة، أو حتى برنامج حماية — بينما يُخفي في داخله وظيفة خبيثة. اسمه مستوحى من الأسطورة الإغريقية الشهيرة، حيث أُدخل جنود يونانيون إلى طروادة داخل تمثال خشبي ضخم. الفرق الجوهري بينه وبين الفيروس هو أن حصان طروادة لا يتكاثر ذاتيًا؛ يحتاج إلى أن يقوم المستخدم بتشغيله يدويًا.
في قائمتنا، يظهر نوعان من أحصنة طروادة: Trojan:AndroidOS/Skygofree وTrojan:VBS/Ramnit.psyAI!MTB وTrojan:Win32/Malgent. كل منها يستهدف منصة مختلفة ويعمل بأسلوب مختلف.
Skygofree — جاسوس الأجهزة الذكية
Skygofree هو حصان طروادة متطور لأجهزة أندرويد، اكتُشف عام 2018 من قِبَل باحثي Kaspersky Lab. ما يميزه هو قدراته الاستثنائية على التجسس: يستطيع تسجيل المحادثات الصوتية حتى عند إيقاف تشغيل الميكروفون ظاهريًا، ويمكنه التقاط صور دون تشغيل الشاشة، وسرقة رسائل WhatsApp، والاتصال بشبكات WiFi خبيثة يُعدّها المهاجم مسبقًا.
آلية انتشاره تعتمد على صفحات ويب مزيّفة تُشبه مواقع مزودي خدمة الإنترنت الإيطاليين، تخدع المستخدم لتثبيت "تحديث ضروري". بعد التثبيت، يطلب صلاحيات واسعة ويُبقي نفسه نشطًا حتى بعد إغلاق التطبيق عبر تسجيل نفسه كـ"خدمة إمكانية الوصول" (Accessibility Service).
Ramnit — الثابت المتشعّب
Ramnit من أعقد برمجيات الاختراق الموثّقة. يُصنَّف أحيانًا كفيروس وأحيانًا كحصان طروادة لأنه يجمع بين القدرتين: يعدو عبر الملفات كالفيروس، لكنه يفتح بابًا خلفيًا للتحكم عن بُعد كحصان طروادة. يستهدف ملفات HTML و.exe و.dll بشكل رئيسي، ويُدمج شيفرته ضمنها.
الإصدار الذي يظهر في القائمة: Trojan:VBS/Ramnit.psyAI!MTB — يشير "VBS" إلى أنه مكتوب بلغة Visual Basic Script، فيما "psyA" يشير إلى متغير بعينه، و"!MTB" يعني أن الاكتشاف تم عبر تقنية Microsoft Threat Behavior. وهذه التقنية لا تعتمد على التوقيعات التقليدية بل على رصد السلوك المشبوه.
Malgent — الوكيل الصامت
Trojan:Win32/Malgent هو اسم عام (Generic Detection) يستخدمه مايكروسوفت للإشارة إلى برمجيات تُظهر سلوكًا خبيثًا بدون توقيع معروف بعينه. عادةً ما يكون وكيل وصول عن بُعد (RAT — Remote Access Trojan)، يتيح للمهاجم التحكم الكامل في الجهاز المخترق: نقل الملفات، تصوير الشاشة، تشغيل البرامج، وحتى تشغيل الكاميرا والميكروفون.
ثالثاً: الفيروسات التقليدية — Viruses
الفيروس البرمجي: التعريف الدقيق
الفيروس البرمجي بمعناه الدقيق هو برنامج قادر على نسخ نفسه وإدراج نسخه في ملفات أخرى — تمامًا كالفيروس البيولوجي الذي يحتاج خلية حية ليتكاثر. الفيروس لا يعمل باستقلالية تامة، بل يرتبط بملف مضيف (Infected Host File) يُشغّله المستخدم فيُفعَّل الفيروس معه.
تظهر في قائمتنا ثلاثة فيروسات مرتبطة بـ VBS (Visual Basic Script) ومتغيرات Ramnit: Virus:VBS/Ramnit.gen!A وVirus:VBS/Ramnit.gen!C وVirus:Win32/Ramnit.P. الأحرف "gen!A" و"gen!C" تُشير إلى متغيرات جينيّة مختلفة (Genetic Variants) من نفس العائلة.
Ramnit كفيروس: الانتشار عبر HTML
ما يُميّز Ramnit الفيروسي هو قدرته على حقن شيفرة JavaScript أو VBScript داخل ملفات HTML. وعندما يفتح المستخدم هذا الملف في المتصفح، تُنفَّذ الشيفرة الخبيثة تلقائيًا. هذا جعل Ramnit خطيرًا بشكل خاص في الحواسيب التي تحوي مواقع ويب محلية أو ملفات HTML مُخزَّنة.
مثال توضيحي على آلية العمل: تخيّل أن جهازك يحتوي على مجلد به 500 ملف HTML قديمة. يصيب Ramnit هذه الملفات كلها بإدراج كود خبيث في نهاية كل منها. عند فتح أي من هذه الملفات — سواء أنت أو أي شخص آخر على نفس الشبكة — يُنفَّذ الكود الذي يبدأ في محاولة الانتشار إلى ملفات جديدة. هذا التسلسل التلقائي هو ما يجعل الفيروس يختلف عن حصان طروادة.
أما Virus:Win32/Ramnit.P فهو المتغير الذي يستهدف ملفات .exe و.dll على ويندوز. يُدرج نفسه في هذه الملفات التنفيذية بحيث يُشغَّل كلما شغّل المستخدم البرنامج المُصاب. يصعب إزالته يدويًا لأن إزالته تعني إصلاح الملف التنفيذي أو حذفه، وهو ما قد يُخل بعمل برامج مشروعة.
لماذا VBS تحديدًا؟
اختار مطورو Ramnit لغة Visual Basic Script لأنها مدمجة أصلًا في ويندوز ولا تحتاج إلى تثبيت أي مكتبات إضافية. الشيفرة المكتوبة بـ VBScript تُنفَّذ مباشرة بواسطة wscript.exe أو cscript.exe اللذان يأتيان مع النظام. هذا يعني أن برامج الحماية القديمة كانت في بعض الأحيان تتجاهل هذه الملفات ظنًا منها أنها سكريبت نظام عادي.
رابعاً: أدوات الاختراق — HackTools
التعريف والتمييز
أدوات الاختراق (HackTools) مثيرة للجدل من الناحية الأمنية، لأنها في الغالب برامج شرعية تُستخدم في مجال الأمن الهجومي (Penetration Testing) — لكن عندما تُوجَد على أجهزة عادية دون مسوّغ، فإنها تُعدّ دليلًا على نشاط مشبوه. برامج الحماية كمايكروسوفت تُصنّفها ضمن "البرامج غير المرغوب فيها" (PUA — Potentially Unwanted Applications) أو تُعاملها كتهديد مباشر.
يظهر في قائمتنا: HackTool:Win32/AndroidUnlocker وHackTool:Win32/AndroidUnlocker!MTB. كلاهما يشيران إلى أداة مصممة لتجاوز قفل شاشة أجهزة أندرويد.
AndroidUnlocker: الأداة والاستخدام
أدوات فتح قفل أندرويد (Android Unlockers) برامج تعمل على ويندوز وتتصل بجهاز أندرويد عبر USB. تستغل بروتوكول ADB (Android Debug Bridge) أو ثغرات في وضع الاسترداد (Recovery Mode) لتجاوز كلمة المرور أو النمط أو بصمة الإصبع. قد تُستخدم بصورة مشروعة من مالك الجهاز الذي نسي كلمة المرور — لكنها في السياق الجنائي الجنائي (Forensic Context)، وعلى أجهزة الغير، تُعدّ أداة سرقة بيانات وانتهاك خصوصية.
اللاحقة !MTB (Microsoft Threat Behavior) تعني أن الاكتشاف تم ليس بسبب توقيع الملف بل بسبب سلوكه: الاتصال بجهاز أندرويد، واستخدام ADB، ومحاولة الوصول إلى البيانات بدون مصادقة — هذه السلوكيات مجتمعةً تُشغّل التنبيه.
ما يجعل هذه الأدوات خطيرة بشكل خاص هو سرعة عملها: بعض نسخها تستطيع استخراج نسخة احتياطية كاملة من جهاز أندرويد — رسائل، صور، كلمات مرور، سجل المحادثات — في أقل من دقيقتين عبر كابل USB، دون أن يشعر صاحب الجهاز بأي شيء.
خامساً: الديدان الإلكترونية — Worms
ما الذي يُفرّق الدودة عن الفيروس؟
الدودة الإلكترونية (Worm) تختلف عن الفيروس في نقطة جوهرية: لا تحتاج إلى ملف مضيف لتتكاثر. الدودة برنامج قائم بذاته يستطيع الانتشار عبر الشبكات تلقائيًا دون أن يفعل المستخدم أي شيء. تستغل الديدان بروتوكولات الشبكة — كـ SMB، NetBIOS، SSH — أو البريد الإلكتروني أو ثغرات في الخدمات لنسخ نفسها إلى أجهزة أخرى.
في قائمتنا: Worm:Win32/Mofksys.RND!MTB — وهو دودة شبكية تستهدف ويندوز 32 بت، تعتمد على نمط عشوائي (RND — Random) في انتشارها. مكوّن "Mofksys" يشير إلى عائلة برمجية معروفة تستغل ملفات Autorun وأجهزة التخزين القابلة للنقل (USB Drives).
Mofksys: دودة الـ USB الصامتة
تعمل Mofksys عبر إنشاء ملف autorun.inf على كل وحدة تخزين قابلة للإزالة (USB، بطاقات SD) تتصل بالجهاز المصاب. هذا الملف يُخبر ويندوز بتشغيل برنامج بعينه تلقائيًا حين توصيل الـ USB بجهاز آخر — وبذلك تنتقل الدودة من جهاز لآخر بمجرد استخدام نفس USB.
مثال واقعي: موظف في شركة يوصل USB مصابة بـ Mofksys بحاسوبه. تنتقل الدودة إلى حاسوبه، ثم تنتشر إلى الشبكة الداخلية عبر بروتوكول SMB مستغلةً أجهزة غير محدَّثة. في غضون ساعات، قد يصل العدوى إلى عشرات الأجهزة دون أن يتفاعل أي موظف مع رسالة مشبوهة أو رابط ضار.
من أشهر الديدان في التاريخ: Stuxnet (2010) الذي استهدف أجهزة الطرد المركزي الإيرانية، وCONFICKER (2008) الذي أصاب أكثر من 15 مليون جهاز حول العالم. هذه السوابق تُوضّح مدى الضرر الهائل الذي يمكن أن تُحدثه دودة إلكترونية واحدة عندما تنتشر دون تدخل بشري.
سادساً: أدوات الحماية المزيّفة — VirTools
VirTool:Win32/VMProtectIrfn هو مثال على برامج الحماية الخادعة أو أدوات التمويه البرمجي. VMProtect في الأصل أداة تجارية شرعية تُستخدم لحماية الكود البرمجي من الهندسة العكسية (Reverse Engineering) — يستخدمها المطورون لمنع قرصنة برامجهم.
غير أن المهاجمين اكتشفوا فائدتها الأخرى: إخفاء الكود الخبيث عن برامج الحماية. عندما يُمرَّر فيروس أو حصان طروادة عبر VMProtect، يُشفَّر الكود بطريقة تجعله غير قابل للتحليل التقليدي. هذا ما تكشفه علامة "Irfn" في الاسم — وهي مجموعة تصنيف داخلية في مايكروسوفت لبرمجيات استخدمت VMProtect بشكل مشبوه.
هذا النوع من البرمجيات يُعدّ من أصعب ما يواجهه محللو الأمن، لأن عملية الاكتشاف تعتمد على تحليل السلوك وليس فحص الكود مباشرةً. يتطلب التعامل معه بيئات صندوق رمل متقدمة (Advanced Sandboxing) وأدوات تحليل ديناميكي متخصصة.
مراحل تطور البرمجيات الخبيثة عبر الزمن
المرحلة الأولى (1970-1990): التجريب الأكاديمي
بدأت البرمجيات الخبيثة كتجارب أكاديمية وفضول تقني. فيروس Brain 1986 صنعه مبرمجان باكستانيان بنية حسنة. معظم برمجيات تلك الحقبة كانت تُعرض رسائل نصية أو تعطّل الجهاز مؤقتًا — ضررها محدود وانتشارها عبر الأقراص المرنة الفيزيائية كان بطيئًا.
المرحلة الثانية (1991-2000): عصر القرص والإنترنت المبكر
مع انتشار الحواسيب الشخصية وظهور شبكة الإنترنت التجارية، تسارع انتشار الفيروسات. فيروس Melissa 1999 انتشر عبر البريد الإلكتروني بسرعة غير مسبوقة. بدأت أدوات الحماية تظهر كصناعة تجارية خلال هذه الفترة.
المرحلة الثالثة (2000-2010): الجريمة المنظمة
تحوّلت البرمجيات الخبيثة من تعبير عن مهارة تقنية إلى صناعة جريمة منظمة. ظهرت شبكات الروبوت (Botnets)، وسرقة بطاقات الائتمان، والبريد العشوائي المدفوع. وُلد مفهوم "malware-as-a-service" حيث يستأجر المجرمون البنية التحتية الخبيثة.
المرحلة الرابعة (2010-2020): التجسس الحكومي وبرامج الفدية
برز Stuxnet 2010 كأول سلاح إلكتروني حكومي موثّق. انتشرت برامج الفدية (Ransomware) بشكل مذهل، وأصبحت هجمات مثل WannaCry 2017 قادرة على شلّ مستشفيات وشركات ومؤسسات حكومية حول العالم.
المرحلة الخامسة (2020-الآن): الذكاء الاصطناعي والهجمات المتطورة
يشهد هذا العقد استخدام تقنيات الذكاء الاصطناعي في توليد برمجيات خبيثة قادرة على التكيّف مع دفاعات الجهاز المستهدف. يُستخدم التعلم الآلي لتوليد أكواد خبيثة تتجنب التوقيعات المعروفة. كما أصبحت هجمات سلسلة التوريد (Supply Chain Attacks) — كحادثة SolarWinds 2020 — من أخطر أشكال الاختراق.
أفضل طرق الحماية الحديثة
1. الحماية القائمة على السلوك (Behavioral Detection)
التوقيعات التقليدية (Signature-Based) أصبحت غير كافية أمام البرمجيات الخبيثة الجديدة. تعتمد أنظمة الحماية الحديثة — كـ Microsoft Defender، وCrowdStrike، وSentinelOne — على تحليل السلوك: إذا كان برنامج ما يُحاول الوصول إلى ملفات النظام، وتغيير إعدادات السجل، والاتصال بخادم خارجي في آنٍ معًا، فهذا نمط سلوكي مشبوه بصرف النظر عن هوية البرنامج.
2. مبدأ أقل الصلاحيات (Principle of Least Privilege)
لا ينبغي أن يمتلك أي مستخدم أو برنامج صلاحيات أكثر مما يحتاج. تشغيل المتصفح أو تطبيقات المراسلة بصلاحيات مسؤول النظام هو نقطة ضعف كبيرة. في بيئات المؤسسات، يعني هذا فصل حسابات العمل عن حسابات الإدارة.
3. التحديثات الأمنية الفورية (Zero-Day Patch Management)
معظم الثغرات التي تستغلها البرمجيات الخبيثة — كـ CVE-2011-1823 المذكورة سابقًا — لها تصحيحات أمنية متاحة. المشكلة الحقيقية هي التأخر في التحديث. يجب تفعيل التحديثات التلقائية لنظام التشغيل وجميع البرامج، وعدم الاعتماد على إصدارات مهجورة من أنظمة التشغيل.
4. العزل الشبكي والتجزئة (Network Segmentation)
في بيئات العمل، عدم عزل الشبكات يعني أن اختراق جهاز واحد قد يفتح الباب أمام الانتشار إلى مئات الأجهزة — كما تفعل Mofksys. فصل شبكة الإنترج عن شبكة الإنتاج عن شبكة الإدارة يُبطّئ انتشار البرمجيات الخبيثة ويُحدّ من الضرر.
5. النسخ الاحتياطية وخطط الاسترداد (Backup & Recovery)
النسخ الاحتياطية المعزولة (Offline Backups) هي آخر خط دفاعي فعّال ضد برامج الفدية. القاعدة المعتمدة هي 3-2-1: ثلاث نسخ، على نوعين مختلفين من وسائط التخزين، واحدة منها خارج الموقع. إذا اخترقت برامج الفدية جهازك، تصبح نسخة احتياطية سليمة هي الفارق بين استعادة عملك في ساعات أو دفع فدية بالملايين.
6. التحقق متعدد العوامل (MFA) وإدارة الهوية
كثير من أحصنة طروادة كـ Malgent تستهدف سرقة بيانات اعتماد الدخول (Credentials). حتى لو سُرقت كلمة المرور، فإن التحقق الثنائي (2FA) يمنع المهاجم من استخدامها مباشرةً. يجب تفعيله على البريد الإلكتروني، والحسابات المصرفية، وأي منصة تحوي بيانات حساسة.
