فيروسات عنيدة يصعب كشفها وإزالتها

وكأن صداع الرأس الذي تسببه الفيروسات الحالية لا يكفي فقد زاد الطين بلة تطور خطير يستدعي المزيد من الحيطة والحذر. فقد أعلن مؤخرا عن اكتشاف فيروس لا يمكن كشفه من فئة "حزمة الجذر rootkit وهي فئة جديدة من الفيروسات الخفية التي لا يمكن كشفها ، يمكن لهذه الفئة من البرامج أن تخفي اتصالاتها أو خدماتها المرتبطة بالخادم ومهامها الخلفية واستخدامها لمنافذ TCP و UDP التي تتلقى منها أوامر وتعليمات من مخترقي الأنظمة. وتطلق سيمانتيك على هذا الفيروس اسم باك دور راستوك إي Backdoor.Rustock.A وهو يجمع حيل قديمة مع أسلوب جديد للتخفي بعد تثبيته وإصابته لكمبيوتر ما. وتعتقد سيمانتيك أن مصدر هذا الفيروس هو روسيا، ويعتمد ما يسمى بمسارات البيانات البديلة Alternate Data Streams (ADS) في نظام الملفات .NTFS

وتقول إف سيكيور F-Secure أنها تقدم تحديثا لبرنامجها المجاني (بلاك لايت BlackLight rootkit scanner) من الموقع https://europe.f-secure.com/blacklight

لكشف هذا الفيروس. والخطير في فيروس روستوك أنه لا يوجد فيه عملية تطهر في مدير المهام بل يعمل في مسارات النواة kernel. أما البيانات البديلة التي يستغلها الفيروس فهي بيانات أو ملفات مخفية لملفات ظاهرة تضمن التوافق مع نظام ماكنتوش وتقدم أيضا معلومات مثل خصائص الملف file attributes مثل author و title لكنها بنفس الوقت تمثل ثغرة خطيرة لإخفاء حقيقة الملفات المشبوهة التي تدمج فيه بحيث لا يراها المستخدم ولا برامج الحماية أو مستكشف ويندوز.

هناك أدوات كثيرة لكشف هذه الملفات الخفية مثل كل من :

Lads - http://www.heysoft.de/Frames/f_sw_la_en.htm

CrucialADS - http://www.crucialsecurity.com/downloads.html

منقول للفائدة