[عصام سرقيوة]

السلام عليكم

هذا نص موضوع كنت قد كتبته في منتدى الحماية (www.security-forums.com) وكثرت حوله الردود والمناقشات نظراً لكونه يناقش قضية حساسة في مجال الحماية.

يمكنك الاطلاع على الموضوع الأصلي وردوده من هذا الرابط :

http://www.security-forums.com/viewtopic.p...a7759042e6d2e60

نص الموضوع باللغة الإنجليزية :

Hello all

Dealing with many people here and there every day (not knowledgeable ones of course) I have been seeing them laughing at Kaspersky when he can't delete a virus! I have been seeing them and hearing them saying (sarcastically): what an AV software!!! He couldn't even delete an old virus like this…shame shame!

Well, as I have the brittlest nervous system in the world (I mean it literally) and as I'm "in love" with Kaspersky (I mean this too but not literally of course), you certainly know what such a caustic remark can do with my nerves! And with the fact of they are (pardon my language please) just a "bunch of ignorants" to the degree they don't even know why KIS or any other AV can't delete a virus when it's locked by another service or program I barly can control myself!

Therefore I'm posting this topic to explain that KIS is NOT responsible for that and it's all about Microsoft!

In Windows, we know that creating a new folder and name it "CON" is prohibited (you can try it yourself) but many users who faced this case (usually by accident) think that it is a windows bug! And many others think that it's a windows trick or even more; a kind of magic!! << can you believe that?!!!

In programming, every programmer knows this basic concept, that is using the programming language "reserved words" as variables' names is prohibited as they may conflict with eachothers!

In malicious software programming, we may all notice that those sick people who develop such type of software usually use a simple-but-effective trick in order to make their malicious programs hidden, unnoticed and hard to be deleted or stopped! that is giving thire programs names that usually used by windows system services! Names like services.exe, lsass.exe, winlogon.exe, svchost.exe…

Well, when KIS asked to unlock an infected exe file first because it's being locked by another service or program and can't be deleted instantly, This means that the specific malicious file is being used by another program or (in our case) because the malicious exe file has a name of one of windows system services! (Email-Worm.Win32.Brontok.q is a good examble)

Kaspersky (or any other AV software) has nothing to do with such "vulnerability" of course, it's all about Microsoft. and yes I name it "vulnerability" because it helps those sick people (malicious software developers) to take advantage of it in spreading their sick programs!

Microsoft must develop a new term and call it "Windows Services Reserved Names" (WSRN) or something like that and take the steps to prohibit giving exe files names that are identical with it's own system services. Why NOT?! such a procedure would help AVs software vendors and make it easy for them to fight malicious software.

Thank you for reading and being patient

ترجمة الموضوع بتصرف إلى العربية :

مرحباً

كثيراً ما أتعامل مع أشخاص هنا وهناك (أعنى الأشخاص عديمي الخبرة في مجال الحماية) - ولطالما سمعتهم يهزؤون بكاسبرسكي لعدم تمكنه من التغلب على فايروس ما - ولطالما سمعتهم ورأيتهم بعيني يقولون : ما هذا البرنامج الذي لا يستطيع التغلب على فايروس قديم كهذا - يا للعار!!!

حيث أن الله قد ابتلاني بأكثر الأجهزة العصبية هشاشة في العالم (أعني هذا حرفياً) - وحيث أنني واقع في حب كاسبرسكي للنخاع (أعني هذا كذلك ولكن ليس حرفياً طبعاً) - يمكنكم تصور ما يحدثه تهكم كهذا في أعصابي - خاصة وأن المتحدثين (واعذروني على وقاحتي) هم ليسوا إلا حفنة من الجهلة - نعم جهلة - لأنهم لا يعلمون لماذا لا يستطيع كاسبرسكي أو أي برنامج غيره إيقاف وحذف خدمة أساسية شريرة (خدمة فايروس) عندما تكون مقفلة بخدمة أخرى، ومع جهلهم لأبسط المعطيات الأساسية لأمن وحماية البيانات هذه - يدسون أنوفهم ويضعون أنفسهم في موضع الحكم على برنامج عملاق ومتخصص في الحماية ككاسبرسكي!

من أجل ذلك كتبت هذا الموضوع لأبين أن كاسبرسكي بريء من مثل هذا القصور وأن السبب هو مايكروسوفت!

باستخدام نظام ويندوز - نعلم أن إنشاء مجلد جديد وتسميته باسم "CON" يعتبر شيئاً ممنوعاً - لأنه يحدث تعارضاً مع أجهزة النظام (يمكنك تجربة ذلك بنفسك) - ولكن الكثير من المستخدمين الذين جربوا ذلك (غالباً بالصدفة) يعتقدون أن ذلك عيب في نظام ويندوز، والكثير غيرهم يعتقد أنها مجرد خدعة - بل أكثر من ذلك : بعضهم يعتقد أنه نوع من السحر!!!

في البرمجة بصفة عامة - يعلم كل مبرمج المبدأ البسيط القائل بأن استخدام الكلمات المحجوزة للغة التي يستخدمها كأسماء للمتغيرات التي يتضمنها برنامجه يعتبر ممنوعاً!

في برمجة البرامج الخبيثة (الفايروسات وأخواتها) لاحظت مؤخراً أن أولئك المرضى النفسيين الذي يصنعون الفايروسات بدأوا يستخدمون خدعة بسيطة ولكن فعالة في سبيل جعل برامجهم خفية وغير ملحوظة وصعبة الحذف - وهي إعطاء أسماء لبرامجهم تطابق أسماء خدمات ويندوز الأساسية - مثل lsass.exe, services.exe, logon.exe وهكذا...

حين يقوم كاسبرسكي بإعطاء تحذير بأن فايروس ما مقفل بواسطة خدمة أخرى وأنه يتحتم عليك إزالة القفل قبل أن يتمكن هو من حذف الفايروس - أو يطلب منك إعادة التشغيل لإكمال عملية الحذف، فإن هذا يعني أن الفايروس مستخدم حالياً بواسطة برنامج آخر - وفي حالتنا هذه، لأن الفايروس القافل له أسم يطابق أحد أسماء خدمات ويندوز - وكاسبرسكي في أحسن الأحوال لا يريد أن يحدث ضرراً بجهازك لأن الفايروس يوهمه بأنه إن حذفه فهو سيحذف خدمة أساسية وجوهرية لويندوز وكاسبرسكي لا يريد ذلك طبعاً!!!

كاسبرسكي (ولا أي برنامج حماية آخر) ليس له علاقة بهذه الثغرة طبعاً، الأمر كله يخص مايكروسوفت، إنها ثغرة - نعم أسميها ثغرة لأن صانعي الفايروسات أصبحوا يستغلونها لجعل برامجهم خفية وصعبة الحذف - ومن بين هذه الفايروسات : Email-Worm.Win32.Brontok.q فهذا الفايروس إن أصاب جهازك فلا تحلم بالقضاء عليه بالطرق العادية ولا حتى بكاسبركي نفسه!!!

مايكروسوفت يجب أن تطور مصطلحاً جديداً تسميه لنقل : Windows Services Reserved Names - WSRN أو شيء من هذا القبيل وتتخذ الإجراءات لمنع أي برنامج تنفيذي من التنفيذ تحت نظام ويندوز ما دام له نفس أسماء خدمات النظام نفسه - لما لا؟ إجراء كهذا يساعد برامج مكافحة الفايروسات ويخفف الضغط عليها من أجل القضاء على تلك الآفات!!!

شكراً على صبركم واستماعكم
عصام سرقيوة

إنتهى الموضوع

طبعاً للموضوع بقية وهناك الكثير من المعلومات القيمة نوقشت هناك ولم أجد الوقت لترجمة كل شيء هنا، ولكني أحببت أن يكون هذا فاتحاً للشهية لمن يهتم بهذا المجال ويريد أن يطلع على المزيد من المعلومات!!!

تحياتي لكم

[مستر آدفيرتايزر]

 قل لا للقرصنة

[osama_b]

منور خوي عصام بارك الله فيك ، هذه هي المواضيع المميزه التي تستحق القرأه ، فعلاً أنا مررت بمثل هذه المشاكل وكنت أحتار دائماً في حلها . برنامج Kaspersky برنامج عملاق ومن الصعب على المرء التعامل معه بسهوله ، كنت دائماً أقول أنه معقد ، ولكن كل يوم أكتشف أنه عملاق حقيقي ومصدر ثقه للحمايه . أنتظر دائماً مواضيعك المميزة ...

[deyamag]

شكراً جزيلاً لجهدك .
أطلب المزيد للخروج من دائرة الجهل .

[alsamt-s]

لسلام عليكم ورحمه الله اخي اطلعت على موضوعك وهالني الامر من ناحيتين الاول تمكن الفيروسات من استعمال ملفات النظام ثانيا استحاله اقفال تلك الملفات والا لن تستطيع استعمال برامج اخرى تحت بيئه وندز فمال طلبته مستحيل لان نفس هذه الملفات تستخدمها برامج اخرى تحت بيئه وندز فقلي بالله عليك كيف تستطيع ميكروسوفت منع البرامج من استخدام تلك الملفات
في نظري انه انتهى عصر البرنامج الواحد الذي تعمل بقيه البرامج في بيئته بل يجب ان يعمل كل برنامج باستقلاليه عن البرامج الاخرى وبذلك نعود لنقطه الصفر دوس هذا على حسب تصوري ولك ان تعلق على كلامي لان امن المعلومات اصبح في خطر وخاصه في نظام وندز

[عصام سرقيوة]

السلام عليكم

أخي osama_b

منور خوي عصام بارك الله فيك ، هذه هي المواضيع المميزه التي تستحق القرأه ، فعلاً أنا مررت بمثل هذه المشاكل وكنت أحتار دائماً في حلها . برنامج Kaspersky برنامج عملاق ومن الصعب على المرء التعامل معه بسهوله ، كنت دائماً أقول أنه معقد ، ولكن كل يوم أكتشف أنه عملاق حقيقي ومصدر ثقه للحمايه . أنتظر دائماً مواضيعك المميزة ...

بوجودك يا خوي، وأنا نحييك لمداخلاتك الدائمة وحبك للتعرف على كل جديد!

أخي deyamag

شكراً جزيلاً لجهدك .
أطلب المزيد للخروج من دائرة الجهل.

العفو أخي، يمكنك معرفة المزيد ليس للخروج من دائرة الجهل حاشاك بل للتعرف على أمور أخرى تضاف إلى ما لديك من علم، أنا لا أعترف بالجهل المطلق، لأن كل أنسان له مجال هو عالم أو متعلم فيه وجاهل لما غيره، وأفضل السبل في طريق التعلم هو اطلاع كل منا على ما لدى غيره!

أخي alsamt-s

لسلام عليكم ورحمه الله اخي اطلعت على موضوعك وهالني الامر من ناحيتين الاول تمكن الفيروسات من استعمال ملفات النظام ثانيا استحاله اقفال تلك الملفات والا لن تستطيع استعمال برامج اخرى تحت بيئه وندز فمال طلبته مستحيل لان نفس هذه الملفات تستخدمها برامج اخرى تحت بيئه وندز فقلي بالله عليك كيف تستطيع ميكروسوفت منع البرامج من استخدام تلك الملفات
في نظري انه انتهى عصر البرنامج الواحد الذي تعمل بقيه البرامج في بيئته بل يجب ان يعمل كل برنامج باستقلاليه عن البرامج الاخرى وبذلك نعود لنقطه الصفر دوس هذا على حسب تصوري ولك ان تعلق على كلامي لان امن المعلومات اصبح في خطر وخاصه في نظام وندز

لم تكتف أخي بمجرد المرور والتعليق بل تداخلت في صلب الموضع وناقشت الفكرة وهذا للصراحة أحب إلي كثيراً من مجرد مرور الكرام، بل هو المطلوب وهو بعينه الذي دعاني للرد على كثرة المشاغل.

دعني أناقش معك أهم نقطة :

فمال طلبته مستحيل لان نفس هذه الملفات تستخدمها برامج اخرى تحت بيئه وندز فقلي بالله عليك كيف تستطيع ميكروسوفت منع البرامج من استخدام تلك الملفات

أولا لم أطلب أن تمنع مايكروسوفت أي برنامج من استخدام أي ملف!!!

لعل هذا سوء فهم منك أخي وعليه سأعيد عليك ما قلته أنا بالضبط وهو :

على مايكروسوفت أن تمنع أي مبرمج من اطلاق أحد أسماء خدمات ويندوز الأساسية على برامجه

خذ مثلاً برنامج كاسر الذي صممته قبل أيام، هذا البرنامج أسميت ملفه الرئيسي باسم "casir.exe"
وكنت أستطيع أن أطلق عليه اسم "svchost.exe" ولم يكن أحد سيمنعني وسيرحب نظام ويندوز بهذا الاسم ويسمح بتشغيله بشكل عادي!

الآن هب أن هذا البرنامج ما هو إلا فايروس!!! ماذا تعتقد أن يكون رد فعل المستخدم البسيط حين يرى اسم البرنامج (svchost.exe) بقائمة المهام؟! سيظن طبعاً أنه خدمة من خدمات ويندوز ولن يتفطن إلى أن البنامج ينتحل صفة أحد هذه الخدمات ليبدو مألوفاً.

الآن هب أنك مستخدم متقدم بعض الشيء وتفطنت أن هذا البرنامج ليس خدمة من خدمات ويندوز بل ما هو إلا فايروس وتريد إنهاءه يدوياً ماذا تتوقع أن يحدث؟

سوف تمنعك ويندوز من إنهاء هذا البرنامج لماذا؟ لأن اسمه يطابق أحد أسماء خدمات ويندوز أي محمي من قبل النظام!!!

من أجل ذلك اقترحت أن تمنع مايروسوفت من الأساس على المبرمجين أن يطلقوا أسماء خدمات ويندوز على برامجهم!!! لأن السماح بذلك يترتب عليه أمرين خطيرين :

1 - تضليل المستخدم العادي بأسماء خدمات ويندوز المألوفة لنشر وبقاء الفايروسات فعالة بجهازه.
2 - وضع عوائق للقضاء على هذه الفايروسات التي تستخدم هذه الأسماء لأن ويندوز "الغبية" تحميها عند ذلك من الإنهاء!

هذا كل ما طلبته لا أكثر!!!

مع تحياتي

[AZIZ320]

نعم اخي واستاذي عيصام فكرتك رائعة ولكن معروف ان شركة مايكروسوفت تعير الاهتمام الاكبر في اعتقادي الى واجهة المستخدم والخلفيات
والمناظر يعني نظام وندوز مش آمن كثيرا ولكن اعتقد انها احرزة تقدما ولو طفيفا في وندوز فيستا وان كنت من اشد الناس كرها له الا انني اعجبنبي واغظبني في نفس الوقت شدة الامن والحماية حتى عند نسخ ملف من مكان الا آخر
فما رايك فيما قلت استاذنا الكريم
وبارك الله فيك

[عصام سرقيوة]

السلام عليكم

نعم أخي جدير بالذكر أن هذه الثغرة تم تغطيتها الآن في ويندوز فيستا فال Task Manager الخاص بفيستا تم إصلاحه وتطويره بحيث أصبح قادراً على إنهاء هذه البرامج.

جدير بالذكر أيضاً أنني خاطبت شركة مايكروسوف منذ فترة طويلة حول هذه الثغرة ووعدوا بالنظر فيها وقتها ويبدو أنهم وفوا بوعدهم

تحياتي