أنشىء بنفسك مكافح فيروسات Autorun وأحذفه للابد بلا رجعة !!!
بسم الله الرحمن الرحيم
_ أخوانى الاعضاء ... السادة الزوار
تحية طيبة و بعد ,,,,,,,,,,,,,
هنا سنتحدث عن واقوى واخطر فيروسات انتشارا فى العالم كله بعد ان اصابة الكثير من اجهزه الكمبيوتر مما اثار الذعر والقلق بين مستخدمى الكمبيوتر و خصوصا عدم قدره برامج الحمايه والانتى فيروس على كشف هذا الفيروسات أنها فيروسات الاوتورن(Autorun)
و أيضا سنتعلم سويا كيفيه أنشاء أداه صغيرة لحذف هذا الفيروسات و عدم رجوعة مرة أخرى على الجهاز و أنت الذى سوف تبرمجها و ذلك كله عن طريق المفكرة ( Notepad) .
فى البداية لابد أن تعرف عدوك جيدا حتى تستطيع محاربته لذلك وجب علينا أن نعرف ما هى فيروسات الاوتورن و كيف تعمل و ما هى اضرارها.....الخ
اولا : التعريف على فيروسات (Autorun ) ,وكيف تعمل :
فى الحقيقة أن هذا الفيروس ليس أسم لفيروس معين و انما هو أسم لفئة من الفيروسات التى يكون أحد ملفاتها ملف Autorun.inf ومن الخطأ أن نقول فيروس الاوتورن بل فيروسات الاوتورن و تعمل فى حاله دخولك على أى بارتشن أو فلاشة أو الهارد ديسك الخارجى أو dvd أو اى قرص صلب قابل للكتابة عليه .
معنى ذلك أن ملف Autorun يكون دائما على القرص الصلب و ليس داخل المجلدات و أما باقى ملفات الفيروس فيتم نشرها على حسب برمجة الفيروس فقد ينشر ملفاته فى مجلد Windows أو فى مجلد System32 .....الخ .
ويبقى الفيروس فى حاله سكون أى عدم تشغيل ولم يقم بمهامه حتى تقوم أنت بتشغيله نعم أنت الذى تقوم بتشغيل الفيروس وذلك عند الضغط على أى بارتشن أو فلاشه أو dvd قمت بتشغيل ملف autorun.inf فيقوم هذا الملف بدورة بتشغيل كافه ملفات الفيروس فى كافة المجلدات .
فمثلا : فلاشه مصابه بأحد فيروسات الاوتورن تم أدخالها فى جهازك. فى التو و اللحظة يقوم هذا الفيروس بنشر ملف autorun.inf فى كل بارتشن فى جهازك و باقى ملفاته ينشرها فى المجلدات المفضله له و ينتظر ....وينتظر .....وينتظر دخولك و ضغطك على أى بارتشن فيبدأ فى العمل .
_فيروس Zpharaoh.exe و ملفاته (Autorun.inf- Zpharaoh.exe - hook.dl- Tazebana.dl)
و الكثير و الكثير من هذه الفيروسات و لاحظ أنها تحتوى على ملف Autorun.inf لذلك نقول عليها فيروسات الاوتورن .
ثالثا : أعراض فيروسات Autorun
- بطىء ملحوظ فى أداء جهاز الكمبيوتر وعدم الاستجابة للاوامر بسرعة .
- أغلاق "مدير المهام" Task Manger فعند محاوله فتحته تظهر رسالة تخبرك بأنه تم تعطيل العمليه من قبل مسؤل المهام .
- تعطيل محرر تسجيل النظام Registry editor و أيضا تعطيل أداة Msconfig .
- اخفاء خيار " خصائص الفولدر" Folder Options من قائمة Tools و ان كانت موجودة لم نستطيع التعديل عليه فلو أردنا أن نضع علامه (.) أمام اظهار الملفات المخفية نجد أنه لم يظهر شىء وعندما نعيد فتحة نجد أن العلامة أصبحت على أخفاء الملفات .
-لانستطيع فتح أى بارتشن بالدبل كليك و أنما عن طريق كليك يمين نجد كلمة autoplay أو تظهر أحرف أو رموز غربية .
رابعا :كيفية أنشاء مكافح لفيروسات Autorun
بعد المعلومات السابقة عن عدونا (الفيروس) نستطيع أنشاء برنامج بيسط لحذف هذه الفيروسات الخبيثة و الى الابد .
السؤال : كيف يتم ذلك و لماذا نقول الى الابد ؟
أما كيف فالفكرة ببساطة أن هذه الفيروسات تستفيد من خاصية Autoplay فى الويندوز و هى خاصة تعمل على تشغيل الملفات عند الاقلاع أو عند الدخول الى Device و يتم ذلك من خلال ملف أسمه Autorun.inf وبالتالى عند دخولك الى أى بارتشن أو فلاشة ....الخ فانك تقوم بتشغيل الفيروس بدون قصد و يبدأ فى مهامه .
أذن المعضه كلها هو ملف Autorun.inf فلو أننا حذفنا هذا الملف فان الفيروس سيصير هباء وبلا أى قيمة ولن يعمل نهائيا .
أما لماذا نقول سيتم حذفه الى الابد ولن يرجع نهائيا لان برنامجنا الذى سوف تبرمجة أنت سيقوم بأنشاء ملف بنفس أسم و خصائص ملف Autorun.inf الخاص بالفيرس داخل كل بارتشن أو فلاشه يتم مسحها ببرنامجنا .
و بالتالى لن يستطيع الفيروس (فى حالة اصابة الجهازمرة أخرى) أن ينشىء نفس الملف بنفس الاسم لانه مستحيل علميا حتى ولو أنشأ ملف بأسم Autorun2.inf فلن يعمل الفيروس أيضا و يصبح تحصيل حاصل .
أما خطوات أنشاء مكافح هذه الفيروسات سيتم شرحها فى المشاركة القادمة ان شاء الله تعالى بالتفصيل و لكن كل المطلوب منك أخى العزيز قراءة الكتاب الذى أرفقتة فى المرفقات و هو عن كيفية كتابة الملفات الدفعية و التى من خلالها ستم كتابة برنامجنا حتى يسهل عليك فهم الاكواد التى سوف نكتبها فى برنامجنا .
الى اللقاء ان شاء الله فى المشاركة القادمة و أرجوا أن أكون وفقت فى شرح هذه المشاركة
فى هذه المشاركة أن شاء الله سوف نتعلم سويا كيفيه عمل برنامج بيسط لمكافحة فيروسات الاوتورن .
اولا : المرحلة التحضيرية .
و تعتبر هذه المرحلة مهمة جدا أذا كان جهازك لم يصاب بهذه الفيروسات حتى الان فانها تمثل 50 % من حماية جهازك بالنسبة لهذه الفيروسات .
أما اذا كان جهازك تم أصابته بالفعل بهذه الفيروسات فتقل هذه المرحله من حيث الاهمية و لكن فى كلتا الحالتين أنصح بعدم أهمال هذه المرحلة .
و تتمثل هذه المرحلة فى منع القراءة التلقائية للأقراص بكل أنواعها كى لا تستطيع هذه الفيروسات تشغيل نفسها عند أدخال اى قرص أو فلاش ميمورى فى جهازك و ذلك على النحو التالى :
- بعد النقر على زر Start نختار أمر التشغيل Run ثم نكتب الامر التالى gpedit.msc ثم Ok كما فى الصورة التالية
- بعد ذلك سوف يظهر لنا Group Policy وبها مجموعة من الخيارات .قم أنت باختيار الخيار الاخير Administrative ومنه نضغط دبل كليك على الخيار System كما هو موضح فى الصورة التالية :
- بعد النقر على System تظهر مجموعة من الخيارات نختار من بينها الامر Turn Off Autoplay كما هو موضح فى الصورة التالية :
- بعد النقر على الامر السابق سوف يظهر لنا مربع حوار نختار منه على Enabledثم All drives ثم Ok كما هو فى الصورة
ثانيا : كتابة برنامجنا
سنقوم بكتابة برنامجنا عن طريق الملفات الدفعية و أكيد طبعا عرفت ما معنى و ما هى هذه الملفات اذا قمت بقرائة الكتاب المرفق فى المشاركة السابقة .
عموما أى ملف دفعى يتم كتابة أوامره فى محرر النصوص (المفكرة) أو (Notepad ) لكن يتم حفظة بصيغة bat .
- وقبل البدء فى كتابة برنامجنا لابد أن نعرف ماذا نريد من البرنامج ؟ أو بمعنى اصح عمل مخطط للبرنامج .
ففى المشاركة السابقة أوضحنا أن المعضة كلها فى فيروسات الاوتورن هو ملف Autorun.inf اذا المطلوب هو حذف هذا الملف . ولكن كيف يتم ذلك و هذه الفيروسات تقوم باخفاء هذا الملف ويقوم بتعطيل خاصية الاخفاء من خيارات الفولدر ؟
اذن المطلوب هو نزع خاصية الاخفاء لملفات الفيروس بالقوة ؟
بعد ذلك سوف تظهر لنا مشكلة عدم قدرة حذف هذا الملف لانه للقراءة فقط أو لانه ملف ارشيف . اذن المطلوب هو نزع خاصية القراءة فقط لملفات الفيروس بالقوة ؟
بعد ذلك يقوم برنامجنا بحذف الملف بسهولة . ثم أنشاء ملف بنفس الاسم فى هذا البارتشن الذى سيتم مسحه .
لكن هناك بعض الفيروسات الرخمة التى ستقوم بحذف ملفنا (autorun.inf) الذى قام برنامجنا بانشائه و تضع مكانه ملف autorun.inf الخاص بالفيروس .
أذن المفروض نكون نحن أرخم من هذه الفيروسات ونجعل ملفنا غير قابل للحذف .
أذن مخطط البرنامج على النحو التالى :
_ مسح البارتشن أو الفلاشة و عرض كافة الملفات التى يحتويها لمعرفة هل مصاب بهذه الفيروسات أم لا .
_ عرض المفات المخفية و ذلك عن طريق نزع خاصية الاخفاء و القراءة فقط لهذه الملفات .
_ حذف ملف الاوتورن من هذا البارتشن .
_ اظهار رسالة للمستخدم لتخيرة بين أنشاء ملف autorun.inf لضمان عدم رجوع هذه الفيروسات مرة أخرى أم انهاء البرنامج .
_ اذا أختار المستخدم أنشاء ملف autorun.inf يقوم البرنامج بأنشاء هذا الملف و الا أنهاء البرنامج .
- أنهاء البرنامج
نبدأ على بسم الله الرحمن الرحيم
_ أفتح المفكرة .....
_ نكتب أول أمر فى أى ملف دفعى وهو لعدم ظهور أوامر برنامجنا اثناء التنفيذ
كود PHP:
@echo off
_ ثانى أمر وهو أختيارى وهو لكتابة أسم لبرنامجنا فى title bar
كود PHP:
title benmarym autorun killer v1
_ ثالث أمر أيضا اختيارى هو لتجميل برنامجا بجعل الخلفية سوداء و الكتابة بالاخضر الفاتح
كود PHP:
color 0a
_ رابع أمر هو كتابه معلومات مبرمج الاداة أو البرنامج
كود PHP:
echo.
echo this program create by ahmed manna
echo.
echo zakyshny@yahoo.com
pause
- خامس أمر عرض جميع الملفات الموجودة فى هذا البارتشن لمعرفة ما اذا كان جهازنا مصاب أم لا خصوصا الملفات المخفية
كود PHP:
dir/a
dir/ah
كما هو واضح من الامر السابق فان dir /a هو لعرض جميع الملفات أما dir/ah هو عرض الملفات المخفية فقط .
- سادس أمر هو نزع خاصية القراء فقط و الاخفاء من كل ملفات البارتشن حتى يسهل حذف ملف الاوتورن و الملفات المشبوهة بعد ذلك
كود PHP:
attrib *.* -s -h -a -r
ويلاحظ على الامر السابق أن *.* أى أجعل جميع الملفات الموجود بالخصائص الاتية s- نزع خاصية ملفات السيستيم h- نزع خاصية hiddin من الملفات r- نزع خاصية Read only من الملفات أما a- نزع خاصية الارشفة من الملفات .
سابع أمر هو حذف ملف autorun.inf من هذا البارتشن .
كود PHP:
del /a/q autorun.inf 2>nul
-ثامن أمر أظهار رسالة للمستخدم للتخير بين أنهاء البرنامج أو أنشاء ملف باسم autorun.inf على هذا البرنامج حتى لاتستطيع هذه الفيروسات أن تصيب جهازك مرة أخرى
كود PHP:
echo Are you sure u want to Create Autorun file in this dirve(Y/N)
set/p "cho=>"
if %cho%==Y goto create
if %cho%==y goto create
if %cho%==n goto END
if %cho%==N goto END
:ms
cls
color 0c
echo.
echo Invalid choice.
echo.
echo Please select the correct option (y) for create or (n) for end
echo.
echo.
echo Are you sure u want to Create Autorun file in this dirve(Y/N)
set/p "cho=>"
if %cho%==Y goto create
if %cho%==y goto create
if %cho%==n goto END
if %cho%==N goto END
goto ms
تاسع أمر أذا أختار المستخدم (y) وهى تعنى أنشاء ملف AUTORUN.INF حتى لا تستطيع هذه الفيروسات أنشاء الملف الخاص بها autorun .inf فى حاله الاصابه مرة أخرى بهذه الفيروسات و بهذا نضمن حماية الجهاز من هذه الفيروسات و لاحظ أيضا أن برنامجنا سوف يكتب أسم الملف الخاص بنا بالاحرف الكبيرة و ذلك عن طريق الكود التالى
كود PHP:
echo this is my autorun file>> AUTORUN.INF
- عاشر أمر سوف نجد أن هناك فيروسات رخمة شوية و تقوم بحذف ملفنا AUTORUN.INF وتضع مكانه الملف الخاص بها لذلك يجب أن نكون أرخم منها بكثير و ذلك بجعل ملفنا غير قابل للحذف أو التعديل به عن طريق جعل خواص ملفنا للقراءة فقط و انه أحد ملفات السيستيم بالكود التالى
كود PHP:
attrib AUTORUN.INF +r +s +h
ستجد ان المجلد اختفي .. وفي الواقع لم يختفي وانما اصبح مخفيا ومحميا ..حاول انك تحذفه بالطرق العادية .. طبعا لن تقدر !! لانه اصبح ملف سيستم ..
(ملحوظة) : اذا كنت في الويندوز علي حساب adminstator طبعا سيكون لك صلاحية حذف هذا المجلد !
وايضا اذا قمت بعمل فورمات فان الملف ايضا سيحذف .. لذلك توخي الحذر ..
- الامر الحادى عشر هو انهاء و الخروج من البرنامج بهذا الكود
كود PHP:
end
بعد كتابة الاكواد السابقة فى المفكرة أحفظ الملف بأى أسم و لكن بأمتداد bat و بالتالى يكون الكود النهائى لبرنامجنا كما يلى
كود PHP:
@echo off
title benmarym autorun killer v1
color 0a
echo . this program create by ahmed manna
echo.
echo . zakyshny@yahoo.com
pause
Echo.
echo . this all files in this drive
echo.
dir/a
echo.
echo . this all files hidden only in this drive
echo.
dir/ah
pause
attrib *.* -s -h -a -r
del /a/q autorun.inf 2>nul
echo.
echo Are you sure u want to Create Autorun file in this dirve(Y/N)
set/p "cho=>"
if %cho%==Y goto create
if %cho%==y goto create
if %cho%==n goto END
if %cho%==N goto END
:ms
cls
color 0c
echo.
echo Invalid choice.
echo.
echo Please select the correct option (y) for create or (n) for end
echo.
echo.
echo Are you sure u want to Create Autorun file in this dirve(Y/N)
set/p "cho=>"
if %cho%==Y goto create
if %cho%==y goto create
if %cho%==n goto END
if %cho%==N goto END
goto ms
:create
echo this is my autorun file>> AUTORUN.INF
attrib AUTORUN.INF +r +s +h
:end
end
ثالثا : تشغيل برنامجنا
بعد كتابة البرنامج كما أو ضحنا سابقا توجد طريقتين لتشغيل البرنامج
الطريقة الاولى : أذا كانت خيارات المجلد Folder Option موجودة و لم يضربها الفيروس
_ نذهب الى شريط القوائم لجهاز الكمبيوتر ثم Tools ثم Folder Option كما فى الصورة التالية
- سوف يظهر لنا مربع حوارى نختار التويب File Types ثم نختار بعد ذلك Drive ثم نختار Advanced كما فى الصورة التالية
- سوف يظهر لنا مربع حوارى نختار منه الامر New كما فى الصورة
- سوف يظهر مربع حوارى أخر تحت تصنيف action نكتب الاسم الذى تريدة و فى المكان الثانى نحدد مسار برنامجنا عن طريق الضغط على Browse ثم Ok كما فى الصورة التالية
الان نطبق برنامجنا على أى بارتشن أو فلاشة
- قف على أى بارتشن ثم أضغط كليك يمين ستجد برنامجنا فى القائمة كما فى الصورة التالية
- سيفتح لنا شاشة برنامجنا و تعرض معلومات عن المبرمج كما يلى
- بعد ذلك سيطلب منك الضغط على اى زر لعرض محتويات الفلاشة أو البارتشن كما يلى
- بعد ذلك سيقوم بحذف ملف الاوتورن من هذا الباتشن ثم يطلب تظهر رسالة تخبرك هل تريد أنشاء ملف أوتورن أم لا
ثم نقوم بحذف باقى ملفات الفيروس يدويا و مبروك عليك
الطريقة الثانية : اذا كانت خيارات المجلد غير موجودة قم بنقل البرنامج دخل كل بارتشن ثم أضغط عليها دبل كليك فقط لا غير .
وبهذا البرنامج البيسط أستطعنا حذف ملف الاوتورن الخاص بالفيروسات و جعلناها تحصيل حاصل كما أننا حصنا جهازنا منها عن طريق أنشاء ملف autorun.inf خاص بها و بهذه الطريقة لا يستطيع أى فيروس ينشىء ملف بنفس الاسم على هذا البارتشن .
ملحوظة :
برنامجنا حتى الان لايستطيع حذف غير ملف واحد فقط من ملفات الفيروسات وهو ملف autorun.inf و نقوم نحن بحذف باقى ملفات الفيروس .فما رائك أذن نكبر برنامجنا لكى يستطيع حذف جميع ملفات الفيروس و اصلاح ما أفسدة هذا الفيروس .
أذن أنتظرنا فى المشاركة القادمة التى من خلالها سييتم تحليل بعض الفيروسات و اصلاح قيم الريجستير و حذف اخطر الفيروسات بكامل ملفاتها وعن طريق برنامجنا .
الى اللقاء ان شاء الله فى المشاركة القادمة و أرجوا أن تكون أستفدت من هذا الدرس
جزاك الله خيرا الاستاذة الفاضلة نضال على تشريفك فى هذه المشاركة
اقتباس
جزاك الله خيرا اخي الحبيب ...
هل يوجد برنامج معين تنصح به مضاد للفيروسات ...ولا يكون نسخة تجريبية ..وفي نفس الوقت يكون فعالا وجيدا ؟؟
شكرا لك أخى العزيز أبو على
أما بالنسة لسؤالك :
فيعتبر معادلة صعبة للغاية فاما أن تشترى مكافح فيروسات أصلية من مصادر موثوقة ....واما أن تعتمد على البرامج المجانية أو التجريبية بها فيها من ثغرات كثيرة .
وفى كلتا الحالتين من وجة نظرى أن الكاسبر قوى جدا فى مكافحة الفيروسات
المفضلات