سبعة أيام هزت أمريكا
حكاية فيروس ميليسّا الذي زعزع عروش الكبار


فيما كانت صافرات الإنذار تهز بلجراد، مع هجوم طائرات وصواريخ حلف الناتو عليها، أُطلقت صافرات إنذار من نوع آخر، في أمريكا، وبالذات في أروقة ودهاليز كبريات شركات تقنية المعلومات، والمواقع الكبرى والمهمة على شبكة إنترنت، تنذر بشبح غريب يتهدد أنظمة البريد الإلكتروني في الولايات المتحدة خصوصاً، وفي العالم أجمع بشكل عام. وبدأ يتردد على الألسن اسم جديد هو W97M-Melissa.

وميليسّا عبارة عن فيروس، عطل العديد من المزودات التابعة لشركات إنتل، ومايكروسوفت، والبنتاجون، وحلف الناتو، ووصف بأنه أسرع فيروس انتشاراً على الإطلاق في تاريخ الكمبيوتر!

اختلفت التكهنات حول هذا الفيروس، ودارت الشائعات بسرعة البرق، وساهم البنتاجون (وزارة الدفاع الأمريكية) في زيادة هذه الأوهام، من خلال أحد الناطقين باسمه، الذي أعرب عن خشيته من أن يكون الصرب وراء هذا العمل، بل أشار إلى أن هجوم الفيروس على موقع حلف الناتو على الشبكة، إنما ينذر بنوع جديد من المواجهة مع الصرب. لكن، ما قصة هذا الفيروس؟ وما هي حقيقته؟؟

البداية

قبل شهر ونيف، وبالتحديد يوم الخميس في 26 آذار/ مارس الماضي، أصيبت ألوف الكمبيوترات، بفيروس جديد، أثقل كاهل أنظمة البريد الإلكتروني في مختلف أنحاء العالم.

وهذا الفيروس يستنسخ نفسه، مسخراً برمجيات البريد الإلكتروني، لإرسال قائمة بعناوين المواقع الجنسية الفاضحة، ونشرها بسرعة من خلال إنترنت، مما أجبر العديد من الشركات على إغلاق مزودات البريد الإلكتروني لديها.

ويستخدم فيروس ميليسا، توليفة لأكثر من ماكرو في مايكروسوفت وورد ومايكروسوفت أوتلوك، ليرسل قائمة بعناوين 80 موقعاً جنسياً، لخمسين شخصاً مسجلاً في سجل عناوين الضحية. فإذا أصيب جهاز شخص واحد بميليسّا، فإن هذا الفيروس سيعمد إلى إرسال خمسين رسالة، إلى أول خمسين جهة في سجل العناوين لديه، وهذا هو السبب الذي جعل غالبية المصابين، ممن تبدأ أسماؤهم بأحد الحرفين A، وB.

وعلى الرغم من أن شركة سيمانتك التي تُصدر مضاد الفيروسات "نورتون"، بالإضافة إلى شركات أخرى، مثل NetworkAssociates التي تصدر "ماك آفي سكان" وTrendMacro التي تصدر "بي سي سيللين"، سارعت، كل على حدة، وخلال ساعات، إلى إصدار المضادات المناسبة، إلا أن هذه الساعات كانت كافية لانتشار الفيروس، كالنار في الهشيم، ووصوله إلى معاقل مايكروسوفت، وإنتل، والعديد من المواقع الرئيسية الأخرى.

وبُذلت خلال يومي الجمعة والسبت، في 27 و28 آذار/ مارس، جهود كبيرة من أجل الاستشفاء من هذا الفيروس، وأخذ اللقاحات الواقية من الإصابة به. لينتقل التركيز، مع يوم الأحد (العطلة الأسبوعية)، إلى ملاحقة المجرم.

كيف يعمل الفيروس؟

ذكرنا أن هذا الفيروس عبارة عن ماكرو في برنامج مايكروسوفت وورد، أي أن الشيفرة الملوثة، تنتقل من خلال ماكرو يدعى "ميليسّا"، ضمن ملف وورد، ينتقل كملف مربوط attached file، في الرسالة الإلكترونية.

وعندما يفتح صاحب الجهاز هذا الملف، فإنه يتم تعطيل إمكانية اكتشاف وحدات الماكرو، ليقرأ الفيروس خمسين اسماً من قائمة "المرسل إليهم"، في سجل عناوين مايكروسوفت أوتلوك، ويعيد توجيه "forward" النص الملوث، إليهم جميعاً! وتحمل الرسالة الملوثة اسماً لافتاً، ضمن حقل الموضوع (Subject) يبين أن هذه الرسالة هامة، وهو: "Important Message from Username"، حيث Username هو اسم صاحب الجهاز. ويحتوي متن الرسالة عبارة لا تخلو من التشويق والتضليل: "Here is that document you asked for.. don't show anyone els;-)"، أي "هذا هو المستند الذي طلبته، لا تدع أحداً يراه (غمزة مع ابتسامة)"، ويلي ذلك ربطاً، الملف الملوث.

وبمجرد أن يفتح أحد المتلقين الرسالة، والنص المربوط بها، فإن الفيروس سيرسل ثانية إلى خمسين شخصاً آخر، وهكذا..، مما يعني أن انتشاره سيتم وفق تابع أسي!! وهذا هو السبب الكامن وراء الضغط الهائل الذي حققه هذا الفيروس على المواقع، خلال يوم واحد من إطلاقه.

يشترط، لتكاثر الفيروس، أن يستخدم الشخص برنامج أوتلوك للبريد الإلكتروني. فإذا كنت تستخدم برنامجاً آخر، مثل لوتس نوتس، أو نوفيل جروب وايز، أو يودورا، أو نتسكيب ماسنجر، فإن الفيروس لن يعاد توزيعه تلقائياً، لكنه سيلوث جميع الملفات التي ستفتح ثانية في وورد.

وثمة أعراض جانبية، للإصابة بهذا الفيروس، تظهر مرة كل ساعة، حيث يُستبدل النص المسجل في مستندات وورد، بعبارة: "Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here"، وهي عبارة يعرفها جيداً، هواة لعبة "Scrabble" الشهيرة. ولكن هذا الأمر يحدث في توقيت معين، مرتبط بأرقام متماثلة في التاريخ والتوقيت، كالرقم 29 في المثال التالي: (الساعة 3:29، من تاريخ 29 مارس/آذار).

حالة طوارئ

استهل الفيروس نشاطه، ضمن مجموعة إخبارية تدعى "alt.sex"، وبدأ بالانتشار في عدة مناحٍ. ونظراً لانتشاره السريع، فقد أُعلنت حالة الطوارئ في العديد من الشركات التي تنتج مضادات للفيروسات، وبدأت شركة TrendMicro، مثلاً، طرح تحديثات يومية على منتجها، بعد أن كانت تطرحها أسبوعياً!

وقد تفاوتت تقديرات الإصابة تفاوتاً كبيراً، بين مزودي خدمات إنترنت، ففي حين أشار NetworkAssociates، عن 60000 كمبيوتر مصاب لدى زبائنه، فقد أعلنت شبكة أمريكا أون لاين أنها لم تلاحظ حركة استثنائية على المزودات البريدية لديها، فيما تقبع مايكروسوفت في مكان ما بين هاتين الحالتين، وبررت إغلاق مزودات البريد الإلكتروني لديها، بأنه يهدف إلى منع امتداد انتشار الفيروس أكثر.



رحلة الاكتشاف

بدأ رجال المباحث والشرطة الفيدرالية الأمريكية، التنقيب على نطاق واسع، عن مبتكر هذا الفيروس، في عالم غامض مليء بالهاكرز ومطلقي الفيروسات. واستنفرت وحدة "الجرائم الافتراضية"، في الشرطة الفيدرالية، إلا أن الكثير من الشكوك انتابتهم في جدوى تحرياتهم، خاصة وأن الجريمة تميل إلى أن تكون "افتراضية" من ألفها إلى يائها، لا جوانب واقعية أبداً فيها.

أفضت عمليات البحث، إلى أن المشتبه به، هو شخص يطلق على نفسه اسم "Sky Roket"، انطلقت أعماله من شبكة أمريكا أون لاين وهذا الاسم محرف عن "Sky Rocket"، أي صاروخ الفضاء، وهو اسم تجاري شائع لبعض التجهيزات، والألعاب، علاوة على استخدامه ككناية عن سرعة الانطلاق، والتحليق الصاعق.

وقد استطاعت شركة NetworkAssociates Inc.، المتخصصة في أنظمة أمان الكمبيوتر، أن تتحقق من العلاقة بين فيروس ميليسّا وسكاي روكت، وبين العديد من الفيروسات التي ظهرت خلال أكثر من عام.

ولدى التحقيق بالأمر، تبين أن SkyRoket، هو اسم أحد مستخدمي شبكة أمريكا أون لاين، وأن هذا الاسم تمَّ السطو عليه سابقاً، من قبل أحد الهاكرز الذين يتقنون كسر كلمات السر، للحصول على الخدمات مجاناً، أو لتغطية بعض نشاطاتهم غير المشروعة على الشبكة.

وأكد المحققون المتعاونون من NetworkAssociates، أن المالك الحقيقي لعنوان سكاي روكت بريء من هذه التهمة، بيد أن الشخص الذي ينتحل شخصيته هو من ابتكر الفيروس.

وتابع المحققون اقتفاء أثر سكاي روكت، ليتبين أن هذا الاسم استُخدم لأول مرة انطلاقاً من النرويج، ضمن منتدى يناقش مواضيع إباحية. وحرصت الشرطة الفيدرالية على كتمان تفاصيل ما توصلت إليه، لكن كان من الواضح، أنها حصلت على مساعدة قيّمة من شبكة أمريكا أون لاين، ثم بدأت بتضييق الخناق على الفاعل، بمعونة أحد الوشاة، وبالاقتفاء العكسي لمسيرة الفيروس، وبتحليل طريقة صنعه. فالفيروس، كما ذكرنا، يستخدم ماكرو في برنامج وورد، وهي تقنية عالية الفعالية، والأهم أنها موجودة في معظم الكمبيوترات. كما أنه يتخفّى في رسالة بريدية، من زميل لزميله!

وبدت خطوات البحث جادة وسريعة. وعلى الرغم من شكوك البعض في إمكانية الوصول بسرعة إلى الفاعل، إلا أن شركة NetworkAssociats، أعربت عن ثقتها بأن هذه الخطوات ستثمر سريعاً.

وهذا ماحدث.. ففي مساء اليوم التالي، تناقلت وكالات الأنباء خبر إلقاء القبض في نيوجرسي، على الشخص الذي يشتبه بأنه مبتكر هذا الفيروس، وهو مبرمج محترف شاب يدعى ديفيد سميث، في الثلاثين من عمره.

الاعتقال

داهمت قوات الشرطة، مساء الخميس، الأول من نيسان/ أبريل الماضي، منزل الشقيق الأكبر لديفيد سميث، الكائن في إيتون تاون، في ولاية نيوجرسي، واعتقلت المبرمج الشاب، بتهمة تخريب أنظمة الاتصالات العامة، والتآمر والسطو على خدمات الكمبيوتر، وهي اتهامات تصل عقوبتها إلى السجن مدة 40 عاماً، ودفع غرامة نقدية بقيمة 480 ألف دولار.

إلا أن آلتمان، المحامي الذي يتولى الدفاع عن المتهم، قال إن موكله لم يكن ينوي، من خلال الفيروس، القيام بأي عمل شائن. وأن الصورة التي رسمت له، باعتباره مجرماً خطيراً، ظالمة، وأنه يخشى أن يتحول ديفيد إلى قربان للإجراءات الحكومية المضادة للجرائم التقنية.

وأضاف: "إن عالم الكمبيوتر مليء بالبشر الذين يقومون بتجارب واختبارات، وإن موكلي لم يفعل شيئاً عن سوء نية، ولم يكن يقصد القيام بشيء من هذا القبيل"!

وعلى الرغم من إطلاق سراح ديفيد سميث، في اليوم التالي لاعتقاله، مقابل كفالة قيمتها 100 ألف دولار، إلا أن المحامي واصل حملته الإعلامية، الهادفة لكسب تعاطف الرأي العام مع موكله، وقال: "يبدو ديفيد اليوم مضطرباً، ومذعوراً، ومعكّر المزاج، إنه يعاني من محنة حقيقية فظيعة!!"