این ویروس ایرانی، فایل‌‌های com و Partition Table دیسک سخت را آلوده می‌‌کند. اندازهٔ آن در فایل‌‌های com ، ۲۶۷۶ بایت است. ضمنا" برای این که کنترل وقفه‌‌ی ۲۱H در هنگام بوت شدن سیستم را در اختیار بگیرد،یک روتین۹۰ بایتی را به انتهای فایل Command.com (یا هر Command Interperter دیگری که توسط دستور SHELL در فایل Config.sys مشخص شده باشد) اضافه می‌‌نماید.

ویروس Mortezania.۲۶۷۶
این ویروس ایرانی، فایل‌‌های com و Partition Table دیسک سخت را آلوده می‌‌کند. اندازهٔ آن در فایل‌‌های com ، ۲۶۷۶ بایت است. ضمنا" برای این که کنترل وقفه‌‌ی ۲۱H در هنگام بوت شدن سیستم را در اختیار بگیرد،یک روتین۹۰ بایتی را به انتهای فایل Command.com (یا هر Command Interperter دیگری که توسط دستور SHELL در فایل Config.sys مشخص شده باشد) اضافه می‌‌نماید. هنگامی که فایل com آلوده به این ویروس اجرا می‌‌گردد، ویروس ابتدا به دنبال عبارت “COMSPEC =“ در Environment Block گشته و روتین ۹۰ بایتی مورد نظر خود را در انتهای فایلی که نامش در جلوی عبارت “COMSPEC =“ است(معمولا" فایل C:command,com) را می‌‌نویسد. بعد از آن، سکتور شمارهٔ ۱ ساید شمارهٔ صفر از سیلندر صفر(سکتور (Partition Table دیسک‌سخت اول را خوانده و در صورتی که قبلا" آلوده نشده باشد، یک کپی از آن را در سکتور ۲ ساید صفر از سیلندر صفر همان دیسک سخت قرار داده و سپس Partition Table را آلوده می‌‌کند. مابقی ویروس را نیز در سکتور ۳ به بعد می‌‌نویسد.
بعد از آلوده کردن Partition Table، تاریخ سیستم را برابر با روز پنجم از ماه دهم (پنج اکتبر ) سال ۱۹۹۸ میلادی قرار می‌‌دهد و سپس فایل com اصلی اجرا می‌‌شود.
ویروس Mortezania ، توسط Partition Table آلوده، در حافظه مقیم می‌‌گردد. به این صورت که وقتی سیستم باPartition Table آلوده راه‌‌اندازی می‌‌شود، ویروس ابتدا اندازهٔ حافظه‌‌ی Conventional را که BIOS گزارش می‌‌کند، برابر با ۶۳۷ کیلوبایت قرار داده و سپس خود را از سکتور ۳ ساید صفر سیلندر صفر دیسک‌سخت، در آدرس ۹F۴۰:۰۱۰۰ حافظه کپی می‌‌کند. سگمنت ۹F۴۰ در فضای آدرس‌‌دهی بالاتر از ۶۳۷ کیلوبایت قرار دارد و چون اندازهٔ حافظه‌‌ی Conventional برابر با ۶۳۷ کیلوبایت قرار داده شده است، بنابراین سیستم عامل و برنامه‌‌های دیگری که بعد از ویروس اجرا می‌‌‌‌شوند، از حافظه‌‌ی اختصاص داده شده به ویروس استفاده نخواهند کرد. اکثر ویروس‌‌هایی که در Partition Table یاBoot Sector را آلوده می‌‌کنند، برای در اختیار گرفتن حافظه‌‌ی مورد نیاز خود از چنین تکنیک‌‌هایی استفاده می‌‌نمایند.
بعد از مقیم شدن ویروس در حافظه، آدرس وقفه‌‌ی ۱۳H به آدرس ۹F۴۰:۰۸۳۹ تغییر یافته و ویروس، کنترل وقفه‌‌ی ۱۳H را در اختیار می‌‌گیرد. برای کنترل وقفه‌‌ی ۲۱H نیز از روتینی که درCommand.com آلوده قرار داده شده و هنگام بوت شدن سیستم اجرا می‌‌شود، استفاده می‌‌گردد. این روتین، آدرس وقفه‌‌ی ۲۱H را به آدرس ۹F۴۰:۰۱۷D تغییر می‌‌دهد. البته چنانچه سیستم با Partition Table آلوده راه‌‌اندازی نشود و ویروس در حافظه مقیم نباشد، اجرای Command.com آلوده و تغییر آدرس وقفه‌ی ۲۱H باعث Hang کردن سیستم خواهد شد.
بعد از آن که ویروس در حافظه مقیم و فعال شد، کنترل توابع ۲ (خواندن سکتور) و ۳(نوشتن بر روی سکتور) از وقفه‌‌ی ۱۳H و نیز توابع ۳D (باز کردن فایل) و ۴B (اجرای برنامه) از وقفه‌‌ی ۲۱H را در اختیار می‌‌گیرد. به این ترتیب، اجازهٔ نوشتن بر روی سکتور ۱، ساید صفر، سیلندر صفر از دیسک‌سخت اول(Partition Table آلوده) با استفاده از تابع ۳ وقفه‌‌ی ۱۳H را نمی‌‌دهد. ضمنا" هنگام خواندن سکتور فوق با استفاده از تابع ۲ وقفه‌‌ی ۱۳H ، چنانچه تاریخ سیستم روز پنجم به بعد از ماه‌‌های ۱۱ و ۱۲ (نوامبر و دسامبر) سال‌‌های ۱۹۹۸ به بعد باشد، بر روی سکتور مذکور نوشته شده و اطلاعات آن را کلا" تخریب کرده و سیستم را Reset می‌‌کند. با از بین رفتن اطلاعات تقسیم‌‌بندی دیسک سخت، دیگر درایوهای منطقی قابل دسترسی نخواهند بود.
این ویروس در دقایق فرد، اجازهٔ باز شدن فایل‌‌های باپسوند BMP,PCX,GIF و JPG با استفاده از تابع ۳D وقفه‌‌ی ۲۱H را نمی‌‌دهد. همچنین هنگام اجرای فایل‌‌هایی با نام SCAN یا FINDVIRU با استفاده از تابع ۴B وقفه‌‌ی ۲۱H، پیغام زیر را نمایش داده و فایل‌‌های مذکور را اجرا نمی‌‌کند:
This Program Is Too Big To Fit In Memory.

این ویروس هنگام اجرای فایل‌‌های با پسوند com توسط تابع ۴B وقفه‌‌ی ۲۱H، آنها را آلوده می‌‌کند. درون فایل‌‌های آلوده به این ویروس، پیغام زیر را می‌‌توان مشاهده کرد:
ـ A.Mortezania
این ویروس گونه‌‌های دیگری نیز دارد که توسط نرم‌‌افزار ایمن قابل شناسایی و پاکسازی می‌‌باشد.


کامپیوتر جوان
{wave}