هذا النص كتب في الاصل على صفحتي الشخصية على الفيسبوك. بالطبع، كتب بالدارجية. لا ادري لما لم اكتبه هنا منذ البداية. على اي حال، نقلته هنا بنصه بدون اي تعديل البتة لغرض الارشفة.
"ضربني فايرس!"
(دسكليمر1: ماف دراما في النص دة. في بري، لكن ماف دراما)
انا ما زول بتاع امن معلومات، وعلاقتي بيها زي علاقتي باللغة الصينية (i.e. بفتح قوقل افتش معانيها)، لكني، كواحد لاصق قدام شاشة ما لا يقل عن 80% من الكم تاشر سنة الاخيرة، عندي خلفية لا بأس بها عنه. الحكحكة مع ناس الـinfosec القبيل كمان خلقت ليها فيني شعور من البارانويا و الـFUD، المشكلة بقى، لأنه الشعور دة ما مدعم بخلفية كويسة عن الموضوع، كثيراً ما بيكون ما منه فائدة (واحياناً counter productive عديل).
اها فالحصل يا سيدي انه البلادة دي ادت لي اني انضرب فايرس قبل كم يوم....
"فايرس واحد؟ دي هسي حاجة؟ ما تراها 9/10 كمبيوترات البلد دي مضروبة فايرس!"
صاح، وانا كنت -ظاهرياً- لوقت طويل من الـ 1% دي. "ظاهرياً" دي لأنه لو اخدت بالبارانويا المذكورة فوق، ممكن عادي اكون مضروب كم spyware وانا ما جايب ليهم خبر. ثقتي في النضافة دي عالية شوية لكن، الاسباب تحت.
ونرجع تاني للحصل يا سيدي مع الفايرس الضربني قبل كم يوم...
قبل يومين، خليت الجهاز فاتح وطلعت من الاوضة لربع ساعة لغرض ما، لما جيت راجع للجهاز كان عمل الحاجات المفروض يعملها لما يكون idle لمدة طويلة، يقفل الشاشة مثلاً. فيما عدا انه المرة دي مروحة كرت الشاشة كانت مدورة بسرعة عالية (صوت المروحة دي indicator ممتاز لأنه في load على الكرت ولا لأ). لم دست على الكيبورد عشان الجهاز يطلع من الـidle-state بتاعته ويفتش الشاشة تاني، المروحة وقفت. اها! دة ايه دة؟ امبير البارانويا بتاعي طوالي دق الاخر.
كعادتي اني دائماً بكون مشغل كم سوفتوير مراقبة لللهاردوير في الجهاز والسوفتوير دي كانت شغالة background logging. نظرة سريعة للـlogs دي لقيت انه استخدام الـGPU نط فجأة لي 100% بعد 5~10 دقائق من ما قمت من الجهاز، ووقف ياهو لما جيت شغلته تاني.
هنا بقى عندي تفسيرين للحاصل دة: الاول هو bug في درايفرات الكرت، دة كان احتمال وارد لأني مغير الدرايفر قريب وعامل كم tweaks للكرت، التاني هو -ودة غالباً البيخطر على بال اي واحد متابع الساحة الفنية للفايروسات مؤخراً: يا ابو الشباب انت ضاربك Crytocurrency miner malware! امبير البارانويا كان لسة مولع، واكيد قمت مشيت مع الافتراض تاني، ويا الهارديسكات قيامتك قامت!
فوق قلت ثقتي عالية بالنضافة دي، لأني لما اجي اعمل scan للفايروسات البرنامج دة بياخد لحد يومين عديل! ما بس تفتح الويندوز دفندر وتقول ليه اعمل لي scan بسيط، لا لا لا، انا عندي على الاقل 4 سوفتوير مختلفة لازم اديها تشغيلة (الانتيفايرس الشغال الرئيسي،Kaspersky Virus Removal Tool, MBAM و Adwcleaner). ركز مع "على الاقل" دي، لأنه لما البارانويا بالجد تشتغل، هنا ببدا ادخل الـoffline scanners (السوفتوير البتشتغل بدون ما الويندوز يكون شغال)، عادةKaspersky rescue disk او Bitdefender rescue CD. دة طبعاً بدون البرامج الـspecialized البتلقى فورمات الجماعة بينصحو بإستخدامها (عادة مسبوقة بي "ما تستخدم البرنامج دة الا لو خبير قال ليك انت في حالتك دي استخدمه بالصورة الفلانية." يا عم نحن شعب بيبلع الانتيبايوتيك دة زي الحلاوة بدون ما حتى نفكر انه في حاجة اسمها دكتور!)
في الحالة دي طبعاً الرباعي المرح كلهم اخدو لفة، تلاهم شوط بالـMBAR، تلاهم شوط بالاوفلاين سكانر حق كاسبر سكاي. يكفي قولاً انه بعد الـI/O الكتير الحصل مع السكانات دي غالباً الهارديسكات الموصلة في الجهاز نص عمرها الافتراضي انقرض.
من الـ6 سكانات دي، الـ4 الاواخر طلعو redundant، الفايرس سبب المشكلة اتقبض من تاني سكان (الفائز كان MBAM1)، اول سكان بي Microsoft Security Essentials زي ما فشل انه يقبض الفايرس اول مرة لما دخل الجهاز، فشل انه يشوفه هسي برضو. ثالث واحد، الاداة حقت كاسبرسكاي، عملت زي البوليس البيقبضك جوة الميس، مشى لقط الفايرس من الـquarantine حق MBAM. نديه حق المشاركة...
مع اني ما انتظرت كتير اشوف المالوير هو ايه (كان متخفي تحت process اسمها taskhost، اسم مستخدم لواحدة من مكونات الويندوز الرسمية. المثير للاهتمام انه مع ملفات الفايروس دة الانتيفايرس اداني انذار لي ملف تنفيذي تاني هو ما فايروس في حد نفسه لكن بيستخدم من قبل الفايروسات لاغراض البتاع. الملف اسمه "idlemonitor." وما يتهيأ لي داير تفكير كتير ابعد من الاسم (والاعراض الفوق) هو بيعمل ايه.
اثناء السكان الرابع ولا الخامس، بديت اسأل في روحي البتاع دة جا من وين؟ ما اخدت زمن كتير عشان اصل لمصدره. الحصل اني، ككل مواطن سوداني اصيل عنده كمبيوتر، بنزل برامج مقرصنة ومكركة. وعلى الرغم من اني بحاول اركز مع المصادر العندها سمعة والفيها community من الناس العندهم بارانويا برضو، المرة دي دقست نزلت لي واحد مضروب (للامانة كان في واحد من الكومنتات عليه بتحذر من انه مضروب، لكن البقية كانت معتبره false positive طبيعي جداً يحصل في التورنتات). كنت ناوي اني اعمل scan للسوفتوير دة بانتيفايرس محترم في جهاز معتبره فأر تجارب قبل ما اجيبه للجهاز الرئيسي، لكن لبلادتي نسيت اعمل كدة (وبعد سكان للفايل بعد الحادثة دي بأنتيفايرس محترم، البتاع اتضرب فعلاً).
يكفي قولاً اني بعد الحادثة دي اول حاجة عملتها مسحت ابو ناظر الـMicrosoft Security Essentials الكنت شغال بيه، ومنه طوالي تلبت لـKaspersky المجاني. ما عارف انا ما داير اتعلم من الغلطات دي ليه، دي المرة التاني احول من MSE لواحد محترم. Hopefully، دي اخر مرة حأشوف البتاع دة تاني (اللهم الا لو استعدل وبقى زي الناس. لاحظ اني عامل رايح تماماً من سبب المشكلة الاصلي: الـpiracy :|).
ما يستفاد من هذه القصة:
1- اذا انت بتخش في حتات ضيقة من الانترنت (ودة تقريباً بينطبق على 99% من الشعب السوداني العيشته كله قرصنة وwarez) شوت الـWindows Defender (او Security Essentials لناس ويندوز 7 فما سبق) دة برة. اشتغل بأنتيفايرس زي الناس. كاسبرسكاي، افيرا، افاست، بت دفندر و AVG كلهم عندهم سوفتوير مجانية (بعضها بيحتاج VPN) احسن من المصيبة دي. ويندوز دفندر دة معمول للناس النضيفة، ما ليك انت.
2- ما حأقول ليك بطل الكراكات مطلقاً، ما حأنكر انه لو عملت كدة في السودان معناتها تقنع تشتغل بالكمبيوتر (وفي نفس الوقت ما حأدافع عنها. الموضوع دة بقى سخيف تاخد فيه جانب)، لكن من الممكن جداً تقلل اعتمادك عليها بصورة كبيرة. كمية كبيرة (ان لم يكن اغلب) البرامج المستخدمة دورياً في بدائل ليها مجانية وممتازة (واحياناً open-source عديل). برامج الـoffice، برامج الميديا (مع اني ما عارف اصلاً ليه في زول بيشتغل بيها مكركة!)، الانتي فايروسات الفوق، وغيرها كتير.
النقلة دي ما حتحميك 100% من الفايروسات، لكنها حتقلل الابواب الممكن تخش ليك منها كتير. طبعاً، اذا قررت تتحضر وتبقى زول نضيف وشريف 100%، حتمشي لي قدام كتييييير!
3- ارمي اضانك وعينك مع البتاع دة! العربية لما تبدا تكركب ولا طبلونها يولع معناها فيها مشكلة، البتاع دة ما منه فرق كتير.
دسكليمر2: عشان ما يجي زول يدق جرس: استخدامي لفايرس فوق مقصود به Malware عموماً. لكن مصطلح "فايرس" معروف اكتر و بيخوف اكتر، فـ....
"ضربني فايرس!"
(دسكليمر1: ماف دراما في النص دة. في بري، لكن ماف دراما)
انا ما زول بتاع امن معلومات، وعلاقتي بيها زي علاقتي باللغة الصينية (i.e. بفتح قوقل افتش معانيها)، لكني، كواحد لاصق قدام شاشة ما لا يقل عن 80% من الكم تاشر سنة الاخيرة، عندي خلفية لا بأس بها عنه. الحكحكة مع ناس الـinfosec القبيل كمان خلقت ليها فيني شعور من البارانويا و الـFUD، المشكلة بقى، لأنه الشعور دة ما مدعم بخلفية كويسة عن الموضوع، كثيراً ما بيكون ما منه فائدة (واحياناً counter productive عديل).
اها فالحصل يا سيدي انه البلادة دي ادت لي اني انضرب فايرس قبل كم يوم....
"فايرس واحد؟ دي هسي حاجة؟ ما تراها 9/10 كمبيوترات البلد دي مضروبة فايرس!"
صاح، وانا كنت -ظاهرياً- لوقت طويل من الـ 1% دي. "ظاهرياً" دي لأنه لو اخدت بالبارانويا المذكورة فوق، ممكن عادي اكون مضروب كم spyware وانا ما جايب ليهم خبر. ثقتي في النضافة دي عالية شوية لكن، الاسباب تحت.
ونرجع تاني للحصل يا سيدي مع الفايرس الضربني قبل كم يوم...
قبل يومين، خليت الجهاز فاتح وطلعت من الاوضة لربع ساعة لغرض ما، لما جيت راجع للجهاز كان عمل الحاجات المفروض يعملها لما يكون idle لمدة طويلة، يقفل الشاشة مثلاً. فيما عدا انه المرة دي مروحة كرت الشاشة كانت مدورة بسرعة عالية (صوت المروحة دي indicator ممتاز لأنه في load على الكرت ولا لأ). لم دست على الكيبورد عشان الجهاز يطلع من الـidle-state بتاعته ويفتش الشاشة تاني، المروحة وقفت. اها! دة ايه دة؟ امبير البارانويا بتاعي طوالي دق الاخر.
كعادتي اني دائماً بكون مشغل كم سوفتوير مراقبة لللهاردوير في الجهاز والسوفتوير دي كانت شغالة background logging. نظرة سريعة للـlogs دي لقيت انه استخدام الـGPU نط فجأة لي 100% بعد 5~10 دقائق من ما قمت من الجهاز، ووقف ياهو لما جيت شغلته تاني.
هنا بقى عندي تفسيرين للحاصل دة: الاول هو bug في درايفرات الكرت، دة كان احتمال وارد لأني مغير الدرايفر قريب وعامل كم tweaks للكرت، التاني هو -ودة غالباً البيخطر على بال اي واحد متابع الساحة الفنية للفايروسات مؤخراً: يا ابو الشباب انت ضاربك Crytocurrency miner malware! امبير البارانويا كان لسة مولع، واكيد قمت مشيت مع الافتراض تاني، ويا الهارديسكات قيامتك قامت!
فوق قلت ثقتي عالية بالنضافة دي، لأني لما اجي اعمل scan للفايروسات البرنامج دة بياخد لحد يومين عديل! ما بس تفتح الويندوز دفندر وتقول ليه اعمل لي scan بسيط، لا لا لا، انا عندي على الاقل 4 سوفتوير مختلفة لازم اديها تشغيلة (الانتيفايرس الشغال الرئيسي،Kaspersky Virus Removal Tool, MBAM و Adwcleaner). ركز مع "على الاقل" دي، لأنه لما البارانويا بالجد تشتغل، هنا ببدا ادخل الـoffline scanners (السوفتوير البتشتغل بدون ما الويندوز يكون شغال)، عادةKaspersky rescue disk او Bitdefender rescue CD. دة طبعاً بدون البرامج الـspecialized البتلقى فورمات الجماعة بينصحو بإستخدامها (عادة مسبوقة بي "ما تستخدم البرنامج دة الا لو خبير قال ليك انت في حالتك دي استخدمه بالصورة الفلانية." يا عم نحن شعب بيبلع الانتيبايوتيك دة زي الحلاوة بدون ما حتى نفكر انه في حاجة اسمها دكتور!)
في الحالة دي طبعاً الرباعي المرح كلهم اخدو لفة، تلاهم شوط بالـMBAR، تلاهم شوط بالاوفلاين سكانر حق كاسبر سكاي. يكفي قولاً انه بعد الـI/O الكتير الحصل مع السكانات دي غالباً الهارديسكات الموصلة في الجهاز نص عمرها الافتراضي انقرض.
من الـ6 سكانات دي، الـ4 الاواخر طلعو redundant، الفايرس سبب المشكلة اتقبض من تاني سكان (الفائز كان MBAM1)، اول سكان بي Microsoft Security Essentials زي ما فشل انه يقبض الفايرس اول مرة لما دخل الجهاز، فشل انه يشوفه هسي برضو. ثالث واحد، الاداة حقت كاسبرسكاي، عملت زي البوليس البيقبضك جوة الميس، مشى لقط الفايرس من الـquarantine حق MBAM. نديه حق المشاركة...
مع اني ما انتظرت كتير اشوف المالوير هو ايه (كان متخفي تحت process اسمها taskhost، اسم مستخدم لواحدة من مكونات الويندوز الرسمية. المثير للاهتمام انه مع ملفات الفايروس دة الانتيفايرس اداني انذار لي ملف تنفيذي تاني هو ما فايروس في حد نفسه لكن بيستخدم من قبل الفايروسات لاغراض البتاع. الملف اسمه "idlemonitor." وما يتهيأ لي داير تفكير كتير ابعد من الاسم (والاعراض الفوق) هو بيعمل ايه.
اثناء السكان الرابع ولا الخامس، بديت اسأل في روحي البتاع دة جا من وين؟ ما اخدت زمن كتير عشان اصل لمصدره. الحصل اني، ككل مواطن سوداني اصيل عنده كمبيوتر، بنزل برامج مقرصنة ومكركة. وعلى الرغم من اني بحاول اركز مع المصادر العندها سمعة والفيها community من الناس العندهم بارانويا برضو، المرة دي دقست نزلت لي واحد مضروب (للامانة كان في واحد من الكومنتات عليه بتحذر من انه مضروب، لكن البقية كانت معتبره false positive طبيعي جداً يحصل في التورنتات). كنت ناوي اني اعمل scan للسوفتوير دة بانتيفايرس محترم في جهاز معتبره فأر تجارب قبل ما اجيبه للجهاز الرئيسي، لكن لبلادتي نسيت اعمل كدة (وبعد سكان للفايل بعد الحادثة دي بأنتيفايرس محترم، البتاع اتضرب فعلاً).
يكفي قولاً اني بعد الحادثة دي اول حاجة عملتها مسحت ابو ناظر الـMicrosoft Security Essentials الكنت شغال بيه، ومنه طوالي تلبت لـKaspersky المجاني. ما عارف انا ما داير اتعلم من الغلطات دي ليه، دي المرة التاني احول من MSE لواحد محترم. Hopefully، دي اخر مرة حأشوف البتاع دة تاني (اللهم الا لو استعدل وبقى زي الناس. لاحظ اني عامل رايح تماماً من سبب المشكلة الاصلي: الـpiracy :|).
ما يستفاد من هذه القصة:
1- اذا انت بتخش في حتات ضيقة من الانترنت (ودة تقريباً بينطبق على 99% من الشعب السوداني العيشته كله قرصنة وwarez) شوت الـWindows Defender (او Security Essentials لناس ويندوز 7 فما سبق) دة برة. اشتغل بأنتيفايرس زي الناس. كاسبرسكاي، افيرا، افاست، بت دفندر و AVG كلهم عندهم سوفتوير مجانية (بعضها بيحتاج VPN) احسن من المصيبة دي. ويندوز دفندر دة معمول للناس النضيفة، ما ليك انت.
2- ما حأقول ليك بطل الكراكات مطلقاً، ما حأنكر انه لو عملت كدة في السودان معناتها تقنع تشتغل بالكمبيوتر (وفي نفس الوقت ما حأدافع عنها. الموضوع دة بقى سخيف تاخد فيه جانب)، لكن من الممكن جداً تقلل اعتمادك عليها بصورة كبيرة. كمية كبيرة (ان لم يكن اغلب) البرامج المستخدمة دورياً في بدائل ليها مجانية وممتازة (واحياناً open-source عديل). برامج الـoffice، برامج الميديا (مع اني ما عارف اصلاً ليه في زول بيشتغل بيها مكركة!)، الانتي فايروسات الفوق، وغيرها كتير.
النقلة دي ما حتحميك 100% من الفايروسات، لكنها حتقلل الابواب الممكن تخش ليك منها كتير. طبعاً، اذا قررت تتحضر وتبقى زول نضيف وشريف 100%، حتمشي لي قدام كتييييير!
3- ارمي اضانك وعينك مع البتاع دة! العربية لما تبدا تكركب ولا طبلونها يولع معناها فيها مشكلة، البتاع دة ما منه فرق كتير.
دسكليمر2: عشان ما يجي زول يدق جرس: استخدامي لفايرس فوق مقصود به Malware عموماً. لكن مصطلح "فايرس" معروف اكتر و بيخوف اكتر، فـ....