الفيروس المقيم - Resident Virus

اقرأ في هذا المقال


ما هو الفيروس المقيم (Resident Virus)؟

الفيروس المقيم (Resident Virus): هو فيروس كمبيوتر يخزّن نفسه في الذاكرة؛ ممّا يسمح له بإصابة الملفات الأخرى حتى عندما لا يكون البرنامج المصاب أصلاً قيد التشغيل، ويسمح التخزين له في الذاكرة للفيروس بالانتشار بسهولة لأنه يتمتع بوصول أكبر إلى أجزاء أخرى من الكمبيوتر وتحتوي الفيروسات المقيمة على وحدة نسخ مماثلة لتلك التي تستخدمها الفيروسات غير المقيمة.
ومع ذلك لا يتم استدعاء هذه الوحدة بواسطة وحدة الباحث ويقوم الفيروس بتحميل وحدة النسخ المتماثل في الذاكرة، وعند تنفيذها بدلاً من ذلك سوف يضمن تنفيذ هذه الوحدة في كل مرة يتم استدعاء نظام التشغيل لإجراء عملية معينة، ويمكن استدعاء وحدة النسخ المتماثل وعلى سبيل المثال في كل مرة ينفّذ فيها نظام التشغيل ملفاً في هذه الحالة يصيب الفيروس كل البرنامج وسوف يتم تنفيذه على الكمبيوتر.

تنقسم الفيروسات المقيمة أحياناً إلى فئة من العدوى السريعة وفئة من العدوى البطيئة، وتم تصميم ناقلات العدوى السريعة لإصابة أكبر عدد ممكن من الملفات، وعلى سبيل المثال يتم إصابة كل ملف مضيف محتمل في الوصول إليه ويمثل هذا مشكلة خاصة عند استخدام برنامج مكافحة الفيروسات، ونظراً لأن ماسح الفيروسات سيصل إلى كل ملف مضيف محتمل على جهاز الكمبيوترعند إجراء فحص على مستوى النظام، وإذا فشل برنامج فحص الفيروسات في ملاحظة وجود مثل هذا الفيروس في الذاكرة.
ويمكن للفيروس أن يعود على ماسح الفيروسات وبهذه الطريقة يصيب جميع الملفات التي يتم فحصها، وتعتمد النواقل السريعة على سرعة انتشار العدوى وخطأ هذه الطريقة هو أن إصابة العديد من الملفات قد تزيد من احتمالية الكشف؛ لأن الفيروس قد يُبطئ جهاز الكمبيوتر أو يقوم بالعديد من الإجراءات المشبوهة التي يمكن ملاحظتها بواسطة برامج مكافحة الفيروسات.
ومن ناحية أخرى تم تصميم النواقل البطيئة لإصابة العوائل بشكل غير منتظم، وعلى سبيل المثال تصيب الملفات فقط عند نسخها، وتم تصميم أدوات العدوى البطيئة لتجنب الاكتشاف عن طريق الحد من أفعالها فهي أقل احتمالية لإبطاء جهاز الكمبيوتر بشكل ملحوظ، وفي أغلب الأحيان نادراً ما تقوم بتشغيل برامج مكافحة الفيروسات التي تكتشف السلوك المشبوه من قبل البرامج.

الفرق بين الفيروس المقيم والفيروس غير المقيم:

فيروس الكمبيوتر المقيم: هو نوع من فيروسات الكمبيوتر التي يتم نشرها ويوجد داخل ذاكرة الوصول العشوائي للكمبيوتر (RAM)، وتحتوي جميع أجهزة الكمبيوترعلى ذاكرة الوصول العشوائي حتى لا يتم الخلط بينه وبين محرك الأقراص الثابتة (HDD) أو محرك الأقراص ذي الحالة الصلبة (SSD)، وتتكون ذاكرة الوصول العشوائي (RAM) من وحدات ذاكرة تتيح للكمبيوتر قراءة البيانات وكتابتها بأي ترتيب، وإذا كان الفيروس موجوداً داخل ذاكرة الوصول العشوائي للكمبيوتر، فإنه يعتبر فيروس كمبيوتر مقيم.

فيروس الكمبيوتر غير المقيم: يعدّ نوعاً من فيروسات الكمبيوتر التي لا توجد داخل ذاكرة الوصول العشوائي للكمبيوتر ولا يزال من الممكن نشر فيروسات الكمبيوترغير المقيمة داخل ذاكرة الوصول العشوائي، ولكنها لا تبقى هناك، وسيؤدي إيقاف تشغيل الكمبيوتر إلى محو ذاكرة الوصول العشوائي (RAM)، ممّا يؤدي لاحقاً إلى إيقاف تشغيل فيروس الكمبيوتر غير المقيم.

لماذا تكون الفيروسات المقيمة وغير المقيمة أكثر ضرر؟

يمكن أن تُسببّ فيروسات الكمبيوتر المقيمة وغير المقيمة سوءاً لك ولعملك وفيروسات الكمبيوتر غير المقيمة قابلة للتنفيذ لذلك، ما لم يتم تعيين فيروس كمبيوتر غير مقيم للتشغيل عند بدء التشغيل فإنّ إيقاف تشغيل الكمبيوتر أو إعادة تشغيله سيؤدي إلى إيقافه، والطريقة الوحيدة للفيروس غير المقيم لتنفيذ آثاره الضارة هي من خلال التنفيذ.
ولا تتطلب فيروسات الكمبيوتر المقيمة التنفيذ اليدوي، وسيبقى فيروس الكمبيوتر المقيم داخل ذاكرة الوصول العشوائي للكمبيوتر الخاص بك حيث يمكنه أداء أنشطته الضارة في أي وقت، وطالما أنّ جهاز الكمبيوتر الخاص بك قيد التشغيل، فسيستخدم ذاكرة الوصول العشوائي (RAM) وفي هذه الحالة سيظل فيروس الكمبيوتر المقيم نشطاً.

تم تصميم بعض أنواع فيروسات الكمبيوتر المقيمة لتنتشر بسرعة، وفي هذه الحالة يمكن أن تُصيب أجهزة كمبيوتر أو أجهزة أخرى على شبكة عملك في فترة قصيرة، وإنه من الصعب في كثير من الأحيان إزالة فيروسات الكمبيوتر المقيمة، نظراً لأنهم يدمجون أنفسهم في ذاكرة الوصول العشوائي فقد تفشل برامج مكافحة الفيروسات التقليدية في التقاطها ومع ذلك توجد أنواع خاصة من برامج مكافحة الفيروسات المصممة لاكتشاف وإزالة فيروسات الكمبيوتر المقيمة.

الأساليب الشائعة التي يستخدمها الفيروس المقيم لإصابة الأجهزة:

  • (TSR- Terminate- Stay-Resident): وظيفة مقاطعة (TSR) هي إحدى أسهل الطرق لنشر العدوى بينما في نفس الوقت يكون معدل الكشف أعلى أيضاً.
  • كتل التحكم في ذاكرة (MBCs): هناك طريقة أخرى لنشر(Resident Virus) عن طريق استغلال كتل التحكم في الذاكرة في الجهاز.
  • يمكن أن ينتشر أيضاً عن طريق ربط نفسه بوظيفة أو تطبيق معين، ممّا يعني أنه في كل مرة يقع فيها حدث معين وينشط فيروس (Resident).

الفئات الرئيسية للفيروس المقيم:

فيما يلي الفئتان الرئيسيتان لفيروس الكمبيوتر الضار:

  1. العدوى السريعة: هذا أكثر فتكاً وهو مصمم خصيصاً لإصابة العديد من الملفات في أسرع وقت ممكن، وتم تصميم هيكله المعقّد لإصابة كل ملف مضيف يتم تشغيله على جهازك مما يزيد من احتمالية اكتشافه ويتمتع (Fast Infector) بالقدرة على إلحاق أضرار جسيمة بجهازك.
  2. العدوى البطيئة: المُعدي البطيء مُبرمج لأداء إجراءات محدودة ويصيب بطريقة غير متكررة، ونظراً لأنّ العدوى البطيئة لا تُجري تغييرات يمكن تتبعها في جهازك فإن اكتشافها صعب نسبياً.

كيفية إزالة الفيروس المقيم:

  • استخدم تسجيل (Windows) لإزالة فيروس(Resident) من نظام الكمبيوتر الخاص بك، ومع ذلك هناك نقطة مهمة يجب تذكرها هنا وهي نظرية؛ لأنها طريقة يدوية فتأكد من أفعالك.
  • فيما يلي بعض الخطوات البسيطة التي يمكنك اتباعها لإزالة (Resident Virus) من جهازك:
    1. قم بتشغيل (Start Manager) بالنقر فوق مفتاح (Ctrl + Alt + Del)على لوحة المفاتيح، والآن من علامة تبويب العمليات ابحث عن أي ملفات تبدو مشبوهة، وأُنقر فوق علامة التبويب “إنهاء العملية” لإيقافها،
    الآن قم بتشغيل مربع التشغيل بالضغط على مفتاح (Start + R) وأُكتب (Regedit) ثم أُنقر فوق مفتاح نعم لتفويض الإجراء الخاص بك، وسيتم عرض مربع تسجيل (Windows) على شاشة جهاز الكمبيوتر الخاص بك والآن قم بتوسيع (“HKEY_LOCAL_MACHINE”).
    2. افتح مربع حوار جديد بالضغط على مفتاح (Ctrl + F) ثم إُبحث عن الفيروس بكتابة اسمه في مربع (Find What) وبمجرد اكتمال البحث، سيتم عرض الفيروس المكتشف على شاشة جهاز الكمبيوتر الخاص بك ويمكنك الحذف بالنقر بزر الماوس الأيمن على كل خيار.

المصدر: What is and How To Remove a Resident Virus?What is a Resident Virus?Resident Virus


شارك المقالة: