فيروس ميليسا

برمجية خبيثة

فيروس الميليسيا، والمعروف أيضاً باسم «ماليسيا»، و«سيمبسون»، و«كويجبو». وهو فيروس ماكرو ينتشر عبر البريد الإلكتروني. ولأنه ليس برنامج مستقل، فهو لا يعتبر دودة حاسوب.

تاريخه

عدل

أول ظهور للفيروس كان في 26 مارس 1999، حيث تسبب فيروس ميليسيا في غلق نـُظم البريد الإلكتروني والتي تكدست برسائل البريد الإلكتروني المصابة المنبعثة من الفيروس. لم يصمم ميليسيا للضرر، ولكنه تسبب بخسائر فادحة وأثقل للخوادم. تم توزيع الفيروس لأول مرة في مجموعة مناقشة يوزنت alt.sex. وقد كان الفيروس بداخل ملف يدعى “List.DOC” والذي كان يحتوي على كلمات مرور لثمانين موقع إباحي. وتم إرسال النموذج الأصلي للفيروس عبر البريد الإلكتروني للعديد من الأشخاص.

دافيد ل. سميث

عدل

كتب دافيد ل. سميث فيروس المليسيا في أبردين تاونشيب، نيوجيرسي واسماه باسم راقصة تعري قابلها بفلوريدا. وأطلق مبتكر الفيروس على نفسه اسم كويجبو، ولكنه كان مشابه لكاتبي فيروسات الماكرو VicodinES وAlt-F11 والذين كان لديهم ملفات وورد لها نفس خاصية المُعرف الفريد العالمي، وهو رقم تسلسلي أنشأ في وقت سابق مع عنوان ماك لكرت الشبكة كمكون أساسي. وقد حـُكـِم على سميث بعشرة سنين ولكنه قضى منهم 20 شهر فقط في سجن فدرالي، وتم تغريمه 5000 دولار.[1] تم القبض عليه بعد تعاون مكتب التحقيقات الفدرالي وشرطة ولاية نيوجيرسي وإنترنت مونماوث.[2] وبعد ذلك تعاون سميث مع مكتب التحقيقات الفدرالي لتعقب يان دي فيت، الهولندي المنشأ لفيروس أنا كارنيكوفا.[3]

مواصفات الفيروس

عدل

ينتشر فيروس ميليسيا عبر معالج كلمات النصوص ورد 97 وورد 2000، وأيضاً ميكروسوفت أكسيل 97، و2000، و2003. ويستطيع الفيروس أن يرسل نفسه بأعداد كبيرة عبر البريد الإليكتروني من خلال قائمة عملاء البريد الإلكتروني من دفتر عناوين ميكروسوفت اوتلوك 97 و98. عند تحميل وفتح ملف ورد يحتوي على الفيروس، سواء كان LIST.DOC أو ملف مصاب، يعمل الماكرو بداخل الملف ويحاول أن ينسخ نفسه عبر البريد الإليكتروني. في هذه الحالة، يجمع الماكرو أول 50 اسم من قائمة العناوين ويرسل رسائل إليكترونية للعناوين البريدية لهذه الأسماء.

Melissa.U

عدل

يمحو هذا النوع ملفات مهمة. وقبل أن يمحوها، يجردهم من سماتهم الأرشيفية والخفية وسمة القراءة فقط.

Melissa.V

عدل

هذا نوع آخر من فيروس ميليسيا الماكرو، وقريب من فيروس Melissa.U. وهو يستخدم ميكروسوفت اوتلوك ليرسل لأول 40 عنوان بريدي في دفتر عناوين الاوتلوك. وموضوع الرسالة المصابة هو "My Pictures (<Username>)"حيث يكون <Username> هو الاسم المسجل للراسل لدى مايكروسوفت ورد. كما يوجد نوع هجين للفيروس يدعى Melissa.V/E والذي يعرف عنه قدرته في تدمير ملفات مايكروسوفت إكسيل، ومحو مجموعات من البيانات من الملفات عشوائياً، أو في أسواء حال، جعلها عديمة الفائدة تماما من خلال تطبيق مجموعة خبيثة من التعليمات البرمجية للماكرو. ولتبسيط التعليمات البرمجية، قام المؤلف بتشفير نمط بحث إتجاهي، وبذلك يمحو الفيروس مجموعات خطية من البيانات فقط، غالباً ما تكون أعمدة وصفوف عشوائية في الجدول. كما أن للتعليمات البرمجية محيط بحث يستهدف مجموعات بيانات فريدة، والتي من المعروف عنها أن تسبب المزيد من الضرر. وفي نسخة لاحقة، يحتفظ الفيروس بنسخة من الملفات التي تم تدميرها، ويطلب فدية 100 دولار يتم تحويلها لحساب خارجي مقابل الملفات. تم تعقب الحساب فدلّ على المالك. وبسبب قصور في البرمجة، 1% فقط من الحالات يحتفظ الكود البرمجي بنسخة من الملفات. تم تجاهل هذا الفيروس بعد اكتشاف أنه يترك آثار واضحة في سجل الويندوز، وهو الأمر الذي يؤدي إلى وجود بيانات كافية لتدميره واسترجاع الملفات المسروقة. وهناك نسخة خاصة من الفيروس تعدل في البيانات الاحتياطية، وهو ما يخدع المستخدم. فهي تبحث عن بيانات عددية بداخل الملفات ومن ثم، ومع مساعدة مولد أرقام عشوائي، تعدل البيانات بعض الشئ، ليس بشكل كبير، ولكن تجعلها عديمة النفع. لا يوجد محتوى داخل رسالة البريد الإليكتروني، مجرد ملف حامل للعدوى. عند فتح الملف، يتم تشغيل حامل العدوى فوراً. ويحاول محو بيانات من الوجهات التالية (سواء كانت جهات في نفس الحاسوب أو على حاسوب آخر متصل بشبكة): F:, H:, I:, L:, M:, N:, O:, P:, Q:, S:, X:, Z:. عند الاكتمال، يطلق صفارة ثلاث مرات وتظهر رسالة: " "Hint: Get Norton 2000 not McAfee 4.02

Melissa.W

عدل

لا يسمح بخفض مستوى إعدادات أمان الماكرو في ورد 2000. وفي غير ذلك فيتساوى وظيفياً مع Melissa.A.

Melissa.AO

عدل

هذا ما يظهر في الرسالة الإليكترونية المحتوية على هذه النسخة:

Subject: Extremely URGENT: To All E-Mail User - <current date>
Attachment: <Infected Active Document>
Body: This announcement is for all E-MAIL user. Please take note
that our E-Mail Server will down and we recommended you to read
the document which attached with this E-Mail.

تنطلق حمولة Melissa.AO في العاشرة صباحاً في اليوم العاشر من كل شهر. تحتوى الحمولة على الفيروس مدخلة الرسالة التالية في الملف: "Worm! Let's We Enjoy."

انظر أيضا

عدل


ملاحظات ومراجع

عدل
  1. ^ "Creator of Melissa Computer Virus Sentenced to 20 Months in Federal Prison" (Press release). U.S. Department of Justice. 1 مايو 2002. مؤرشف من الأصل في 2009-09-26. اطلع عليه بتاريخ 2006-08-30.
  2. ^ Tracking Melissa's alter egos، ZDNet، 2 أبريل 1999، مؤرشف من الأصل في 2020-01-26
  3. ^ "Court documents reveal that Melissa's author helped authorities catch other virus writers". Sophos. 18 سبتمبر 2003. مؤرشف من الأصل (HTML) في 2009-12-16. اطلع عليه بتاريخ 2009-05-10.

مصادر/وصلات خارجية

عدل