آبجی
1st April 2010, 02:23 PM
ويروسی با درجه خطر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته ويروسهای آلوده کننده MBR قرار می گيرد. اولين نمونه اين ويروس در ماه جاری (فروردین 88) مشاهده شده است.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس StealthMBR.a نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل، دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
آخرین گونه این ویروس برای انتشار خود از حفره ای امنیتی موجود در نرم افزار Adobe Reader سود برده است. شرکت Adobe نیز جزئیات مربوط به این حفره و نحوه اصلاح آنرا از طریق لینک زیر در اختیار کاربران قرار داده است:
http://www.adobe.com/support/securit...apsb09-03.html (http://www.adobe.com/support/security/bulletins/apsb09-03.html)
خرابکاری
ويروس StealthMBR.a نوعی آلوده کننده Master Boot Record محسوب می شود. MBR برنامه ای کوچک، حاوی جدولی در خصوص تقسيم بندی و محل ذخيره اطلاعات بر روی ديسک سخت می باشد که بطور معمول در اولين سکتور ديسک سخت ذخيره می شود. از ويژگی های MBR اجرا شدنش پيش از سيستم عامل است و ويروس StealthMBR با تزريق خود به MBR و با استفاده از همين ويژگی، پيش از سيستم عامل اجرا و در ادامه خود را از ديد برنامه های امنيتی و ضدويروس ها مخفی می سازد.
با آلوده شدن يک کامپيوتر به اين ويروس، فايلهای مخرب زير ايجاد می گردند:
%TEMP%\B.tmp
%TEMP%\C.tmp
%WINDIR%\Temp\D.tmp
همچنین ويروس StealthMBR.a این قابلیت را دارد که پس از دزدیدن اطلاعات کاربر (نظیر حروف تایپ شده توسط او) آنها را به سرویس دهنده ای خاص ارسال کند.
پيشگيري
اولين راه برای پيشگيری از آلودگی، عدم كنجكاوی درباره فايل های مشكوك و ناشناس و يا با عناوين جذاب است كه در سايت های اشتراك فايل، فراوان ديده مي شوند. بهتر است فايل ها و ابزار مورد نياز از سايت های معتبر تهيه شود. به روز نگه داشتن ضدويروس همچنين نصب آخرين اصلاحيه های سيستم عامل و نرم افزارهای کاربردی آن مي تواند کامپيوتر را در مقابل اين اسب تروا محافظت کند.
پاکسازی ويروسهای آلوده کننده MBR در محيط Windows ميسر نيست و علاوه بر اینکه ضدویروس باید حداقل به DAT 5590 (در مورد این ویروس) مجهز باشد می بایست دستگاه با Windows XP CD بوت شده و در محیط RecoveryConsole آن فرمان fixmbr اجرا شود.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبانش را می گيرد. اسب های تروا بر خلاف گونه های ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس StealthMBR.a نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای نصب شده بر روی آنها، بخصوص سيستم عامل، دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
آخرین گونه این ویروس برای انتشار خود از حفره ای امنیتی موجود در نرم افزار Adobe Reader سود برده است. شرکت Adobe نیز جزئیات مربوط به این حفره و نحوه اصلاح آنرا از طریق لینک زیر در اختیار کاربران قرار داده است:
http://www.adobe.com/support/securit...apsb09-03.html (http://www.adobe.com/support/security/bulletins/apsb09-03.html)
خرابکاری
ويروس StealthMBR.a نوعی آلوده کننده Master Boot Record محسوب می شود. MBR برنامه ای کوچک، حاوی جدولی در خصوص تقسيم بندی و محل ذخيره اطلاعات بر روی ديسک سخت می باشد که بطور معمول در اولين سکتور ديسک سخت ذخيره می شود. از ويژگی های MBR اجرا شدنش پيش از سيستم عامل است و ويروس StealthMBR با تزريق خود به MBR و با استفاده از همين ويژگی، پيش از سيستم عامل اجرا و در ادامه خود را از ديد برنامه های امنيتی و ضدويروس ها مخفی می سازد.
با آلوده شدن يک کامپيوتر به اين ويروس، فايلهای مخرب زير ايجاد می گردند:
%TEMP%\B.tmp
%TEMP%\C.tmp
%WINDIR%\Temp\D.tmp
همچنین ويروس StealthMBR.a این قابلیت را دارد که پس از دزدیدن اطلاعات کاربر (نظیر حروف تایپ شده توسط او) آنها را به سرویس دهنده ای خاص ارسال کند.
پيشگيري
اولين راه برای پيشگيری از آلودگی، عدم كنجكاوی درباره فايل های مشكوك و ناشناس و يا با عناوين جذاب است كه در سايت های اشتراك فايل، فراوان ديده مي شوند. بهتر است فايل ها و ابزار مورد نياز از سايت های معتبر تهيه شود. به روز نگه داشتن ضدويروس همچنين نصب آخرين اصلاحيه های سيستم عامل و نرم افزارهای کاربردی آن مي تواند کامپيوتر را در مقابل اين اسب تروا محافظت کند.
پاکسازی ويروسهای آلوده کننده MBR در محيط Windows ميسر نيست و علاوه بر اینکه ضدویروس باید حداقل به DAT 5590 (در مورد این ویروس) مجهز باشد می بایست دستگاه با Windows XP CD بوت شده و در محیط RecoveryConsole آن فرمان fixmbr اجرا شود.