آبجی
1st April 2010, 03:11 PM
Dat براي شناسايي 5423
ويروسی با درجـه خطـر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته ويروسهای آلوده کننده MBR (Master Boot Record) قرار می گيرد.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبان کاربر را می گيرد. اسب های تروا بر خلاف انواع ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس StealthMBR نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای کاربردی و سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
خرابکاری
ويروس StealthMBR نـوعی آلـوده کننـده Master Boot Record محسوب می شود. MBR برنامه ای کوچک، حاوی جدولی در خصوص تقسيم بندی و محل ذخيره اطلاعات بر روی ديسک سخت می باشد که بطور معمول در اولين سکتور ديسک سخت ذخيره می شود. از ويژگی های MBR اجرا شدنش پيش از سيستم عامل است و ويروس StealthMBR با تزريق خود به MBR و با استفاده از همين ويژگی، پيش از سيستم عامل اجرا و در ادامه خود را از ديد برنامه های امنيتی و ضدويروس ها مخفی می سازد.
با آلوده شدن يک کامپيوتر به اين ويروس، فايلهای مخرب زير ايجاد می گردند:
%TEMP%\cln5.tmp
%WINDIR%\Temp\00000219.tmp
%WINDIR%\Temp\ldo6.dll
%WINDIR%\Temp\ldo6.tmp
اين ويروس با زير نظر گرفتن آدرسهای وارد شده در مرورگر اينترنت توسط کاربر و مطابقت دادن آنها با نشانی های موجود در بانک اطلاعاتی خود (که حاوی 2700 آدرس سايتهای خدمات بانکی معروف جهان می باشد)، اطلاعات مربوط به نام کاربری و رمز عبور وارد شده را ذخيره و سپس آنها را به آدرس زير ارسال می کند:
http:\\ogercnt.info\[removed]
پيشگيری
اولين راه برای پيشگيری از آلودگی، عدم كنجكاوی درباره فايل های مشكوك و ناشناس و يا با عناوين جذاب است كه در سايت های اشتراك فايل، فراوان ديده مي شوند. بهتر است فايل ها و ابزار مورد نياز از سايت های معتبر تهيه شود. به روز نگه داشتن ضدويروس و همچنين نصب آخـريـن اصلاحيه های سيستـم عـامـل، مي تـوانـد کامپيوتر را در مقابل اين اسب تروا محافظت کند.
پاکسازی ويروسهای آلوده کننده MBR در محيط Windows ميسر نيست و باید دستگاه را با استفاده از DAT CD (با نگارش حداقل 5423) راه اندازی کرده و سپس اسکن نمود تا پاکسازی بصورت کامل انجام پذيرد.
DAT CD همان CD هایی است که هر دو ماه یکبار برای مشترکین ارسال می شود و در صورت لزوم، مشترکین می توانند درخواست ارسال جدیدترین نسخه آنرا نمایند.
ويروسی با درجـه خطـر کم که عملکرد "اسب تروا" (Trojan) داشته و در دسته ويروسهای آلوده کننده MBR (Master Boot Record) قرار می گيرد.
انتشار
اسب های تروا برنامه هايی هستند که بعنوان يک برنامه سودمند به کاربر معرفی می شوند و او هنگامی که تلاش می کند با اجرای آن از امکانات وعده داده شده استفاده کند، دستگاه خود را دچار آلودگی کرده و عواقب آن دير يا زود گريبان کاربر را می گيرد. اسب های تروا بر خلاف انواع ديگر ويروس ها که ممکن است به يک فايل اجرايی سالم بچسبند يا درون بخش راه انداز يک ديسک جا بگيرند، موجوديت مستقلی داشته و در هنگام پاکسازی تنها حذف فايل آن لازم است.
انتشار ويروس StealthMBR نيز همانند ساير اسب های تروا با دريافت آن از اينترنت و اجرا بر روی دستگاه صورت می پذيرد. هرزنامه هايی که سعی می کنند که کاربر را تشويق به دريافت اين اسب تروا کنند، کانالهای IRC، پوشه های به اشتراک گذاشته شده (Shared) در شبکه های نقطه به نقطه و گروه های خبری، همگی بسترهای مناسبی برای انتشار اين اسب تروا هستند. بعلاوه ممکن است کامپيوترهايی که دارای نام کاربری رايج و رمز عبور ضعيف هستند و يا نرم افزارهای کاربردی و سيستم عامل که دارای حفره های امنيتی هستند، اين اسب تروا را دريافت کنند.
خرابکاری
ويروس StealthMBR نـوعی آلـوده کننـده Master Boot Record محسوب می شود. MBR برنامه ای کوچک، حاوی جدولی در خصوص تقسيم بندی و محل ذخيره اطلاعات بر روی ديسک سخت می باشد که بطور معمول در اولين سکتور ديسک سخت ذخيره می شود. از ويژگی های MBR اجرا شدنش پيش از سيستم عامل است و ويروس StealthMBR با تزريق خود به MBR و با استفاده از همين ويژگی، پيش از سيستم عامل اجرا و در ادامه خود را از ديد برنامه های امنيتی و ضدويروس ها مخفی می سازد.
با آلوده شدن يک کامپيوتر به اين ويروس، فايلهای مخرب زير ايجاد می گردند:
%TEMP%\cln5.tmp
%WINDIR%\Temp\00000219.tmp
%WINDIR%\Temp\ldo6.dll
%WINDIR%\Temp\ldo6.tmp
اين ويروس با زير نظر گرفتن آدرسهای وارد شده در مرورگر اينترنت توسط کاربر و مطابقت دادن آنها با نشانی های موجود در بانک اطلاعاتی خود (که حاوی 2700 آدرس سايتهای خدمات بانکی معروف جهان می باشد)، اطلاعات مربوط به نام کاربری و رمز عبور وارد شده را ذخيره و سپس آنها را به آدرس زير ارسال می کند:
http:\\ogercnt.info\[removed]
پيشگيری
اولين راه برای پيشگيری از آلودگی، عدم كنجكاوی درباره فايل های مشكوك و ناشناس و يا با عناوين جذاب است كه در سايت های اشتراك فايل، فراوان ديده مي شوند. بهتر است فايل ها و ابزار مورد نياز از سايت های معتبر تهيه شود. به روز نگه داشتن ضدويروس و همچنين نصب آخـريـن اصلاحيه های سيستـم عـامـل، مي تـوانـد کامپيوتر را در مقابل اين اسب تروا محافظت کند.
پاکسازی ويروسهای آلوده کننده MBR در محيط Windows ميسر نيست و باید دستگاه را با استفاده از DAT CD (با نگارش حداقل 5423) راه اندازی کرده و سپس اسکن نمود تا پاکسازی بصورت کامل انجام پذيرد.
DAT CD همان CD هایی است که هر دو ماه یکبار برای مشترکین ارسال می شود و در صورت لزوم، مشترکین می توانند درخواست ارسال جدیدترین نسخه آنرا نمایند.