من المتعارف عليه بأن الملفات ذات لاحقة exe هي قنبلة محتملة فجميع الفيروسات والبرامج الخبيثة هي بنهاية المطاف برامج تنفيذية ولكن على الرغم من ذلك يوجد الكثير من اللواحق الخطيرة الأخرى والتي قد تحمل أوامر تنفيذية مدمرة لجهازك.
لم يجب الاهتمام بمعرفة انواع اللواحق الخطيرة؟
من المهم معرفة ولو لمحة بسيطة عن أهم اللواحق الخطيرة التي يجب تفاديها فمثلا ستقوم معظم مزودات البريد الإلكتروني بمنع إرفاق attach أي ملف يملك لاحقة تنفيذية مثل Exe أو Bat لكونها من اللواحق الخطيرة.
من المهم معرفة اللواحق الخطيرة كي لا يتم تحميل أي ملف من الانترنت يملك هذه اللاحقة فيمكن لموقع خبيث الإدعاء بكون الملف الذي ستقوم بتنصيبه هو ملف صورة رغم امتلاكه لاحقة تنفيذية مثل exe .
من المهم أخذ الحيطة والحذر امتلاك أي ملف ذو لاحقة خطيرة إما عن طريق فحصه بمضاد فيروسات أو عن طريق استخدام مضاد فيروسات سحابي كموقع VirusTotal لفحص الملف المشكوك بأمره.
لم قد تكون اللواحق خطيرة؟
إن لواحق الملفات يمكن ان تكون خطيرة لأنها تحوي أوامر تنفيذية فمثلا أخطر نوع من اللواحق هو لاحقة exe لأن هذا النوع من الملفات يملك صلاحية القيام بأي شيء بينما لواحق مثل JPEG الخاصة بالصور أو MP3 الخاصة بالموسيقى ليست خطيرة في معظم الأحيان لأنها لا تملك أوامر تنفيذية , طبعا يوجد استثناءات فبعض الصور قد تحوي برنامج خبيث مضمن داخل الصورة .
قائمة بأخطر اللواحق "الامتدادات " :
البرامج:
- EXE :
ملف تنفيذي مستخدم في معظم برامج الويندوز.
- PIF :
يحوي معلومات عن ملف خاص ببرامج MSDOS على الرغم من عدم إمتلاك هذا الملفات أي اوامر تنفيذية فإن الويندوز سيقوم بمعاملة هذا النوع من الملفات كملفات exe وفي حال امتلاك هذا النوع من الملفات لكود تنفيذي خبيث سيتضرر الجهاز.
- APPLICATION :
خاص بتنصيب البرامج ضمن بيئة الويندوز.
- GADGET :
وهي خاصة بالـ Windows desktop gadget الأدوات التي تساعد وتسهل حياة المستخدم.
- MSI :
خاص بتنصيب البرامج.
- MSP :
خاص بتنصيب الباتشات بحيث يستخدم هذا النوع من الملفات من قبل ملفات MSI .
- COM :
برنامج تنفيذي ضمن بيئة MSDOS .
- SCR :
خاص بتنفيذ شاشة التوقف ويحوي أوامر تنفيذية.
- HTA :
وهو تطبيق HTML لا يعمل داخل المتصفح ضمن آلية علبة الرمل وإنما يعمل كبرنامج تنفيذي قائم بحد ذاته.
- CPL :
وهو خاص بتنفيذ جميع برامج لوحة التحكم التي تملك جميعاً لاحقة cpl
- JAR :
ملفات تنفيذية خاصة بالجافا تتطلب تنصيب JAVA runtime كي تعمل .
السكريبتات Scripts :
.BAT –
وهو ملف تنفيذي يحوي قائمة بالأوامر التي سيقوم الحاسب بتنفيذها عند فتحها
.CMD –
وهو شبيه بسابقه ولكن تم طرح هذه اللاحقة مع صدور الويندوز NT .
.VB, .VBS –
وهو سكريبت فيجوال بيزك تنفيذي سيقوم بالعمل على الحاسب عند تشغيله.
.VBE –
وهو سكريبت فيجوال بيزك مشفر شبيه بسابقه.
.JS –
تعمل الجافا سكريبت عادة من قبل المتصفحات وهي آمنة في حال تم تشغيلها ضمن المتصفح ولكن يقوم الويندوز بتشغيل هذا النوع من الملفات بدون آلية صندوق الرمل.
.JSE –
نسخة مشفرة من الجافا سكريبت.
.WS, .WSF –
Windows Script file.
.WSC, .WSH –
.PS1, .PS1XML, .PS2, .PS2XML, .PSC1, .PSC2 –
وهو سكريبت يعمل بواسطة أوامر PowerShell
الاختصارات:
.SCF –
قد تحوي أوامر تنفيذية تضر ببرنامج استعراض الملفات Windows Explorer.
.LNK –
قد تحوي هذه اللاحقة اوامر تنفيذية مضمنة كما هو حال حذف ملفات بدون سؤال المستخدم .
.INF –
ملف نصي يتم استخدامه بالتشغيل التلقائي للأقراص AutoRun ويتم تشغيل برامج خبيثة عن طريقه هذا النوع من الملفات لايحوي أي أوامر تنفيذية ولكنه يشير إلى ملف آخر يملك أوامر تنفيذية.
.REG –
ملف خاص بسجل النظام يحوي قائمة من قيم التي يمكن أن تضاف لسجل النظاف أو تحذف قد يقوم الملف الخبيث من هذا النوع بحيث بعض القيم الهامة واستبدالها بقيم عشوائية.
ماكرو ملفات الأوفيس Office Macros
.DOC, .XLS, .PPT –
قد تحمل ملفات الاوفيس برامج خبيثة مخبئة ضمن الماكرو يمكن للمخترق من خلالها إختراق جهازك والعبث به .
.DOCM, .DOTM, .XLSM, .XLTM, .XLAM, .PPTM, .POTM, .PPAM, .PPSM, .SLDM –
وهي لواحق جديدة ظهرت مع نسخة الأوفيس 2007 ويدل الحرف M بنهاية كل لاحقة على ان المستند يحوي ماكرو Macro . لهذا السبب نجد أن DocX مثلا هو ملف آمن وليس Doc الذي قد يحوي على ماكرو.