برمجيات خبيثة تتنكر على شكل ملفات مخفية وتعدل مكتبة API

دبي، مكتب «الرياض» عطاف الشمري:

    ظهر مؤخرا نمط جديد من البرمجيات الخبيثة، أو ما يمكن اعتباره تقنية جديدة تستخدمها البرمجيات الخبيثة والبرمجيات التجسسية، على الساحة وهي ما يدعى بأدوات برمجة الأساس أو الجذر rootkits. فعند تنفيذ هذا النوع من البرمجيات، تقوم بتعديل مدخلات مكتبة ال API في نظام الويندوز بحيث تعيد توجيه استدعاءات الوظائف المستخدمة من قبل نظام التشغيل والتطبيقات المتعلقة به لإخفاء وجودها على الجهاز.

فعلى سبيل المثال، إذا قامت أدوات برمجة الأساس أو الجذر (rootkits) بتعديل الاستدعاء الوظيفي لنظام التشغيل ويندوز المسؤول عن إظهار قائمة بمحتوى المجلد، فعندئذ لا يستطيع متصفح الويندوز ولا أمر إظهار قائمة المحتوى (DIR) بعرض محتوى هذا المجلد. ومن هذا المنطلق، لا تستطيع برامج الكشف عن الفيروسات وإزالتها التي تعتمد على الاستدعاء الوظيفي المذكور أن تكتشف الملفات التي تم إخفاؤها باستخدام هذه التقنية تاركة هذه البرمجيات الخبيثة موجودة على القرص الصلب. وللحماية الفعالة ضد أدوات برمجة الأساس أو الجذر (rootkits)، يجب اتباع نظام من 3 خطوات يشمل الوقاية واجتياز الاستدعاءات الوظيفية لنظام التشغيل التي قد تكون تعرضت للتلاعب بالإضافة لمراقبة سلوك البرمجيات والنظام. وتنتشر البرمجيات الخبيثة التي تعتمد على أدوات برمجة الأساس أو الجذر (rootkits) من خلال البريد الالكتروني، والرسائل غير المرغوب بها وبرامج التخاطب المباشر والثغرات الأمنية. وتستطيع الحلول التي توفرها تريند مايكرو منع تحميل أدوات برمجة الأساس أو الجذر (rootkits) والبرمجيات الخبيثة التي تعتمد عليها من خلال حلول الحماية الأمنية التي تستطيع التعرف على هذه الأدوات بشكل فاعل قبل تنصيبها وتنفيذها.

ويمكن اكتشاف أدوات برمجة الأساس أو الجذر (rootkits) والبرمجيات الخبيثة التي تعتمد عليها من خلال مراقبة سلوك النظام. فبالرغم من امكانية إظهار المؤشرات الإيجابية الكاذبة، فإن مراقبة سلوك النظام يساعد في الكشف عن هذه الأدوات والبرمجيات الخبيثة المختبئة بالاعتماد على العمليات التي يتم تطبيقها والسلوك العام للنظام.