تالار گفتگوی دانشگاه صنعتی همدان
هل تريد التفاعل مع هذه المساهمة؟ كل ما عليك هو إنشاء حساب جديد ببضع خطوات أو تسجيل الدخول للمتابعة.



 
الرئيسيةجستجوأحدث الصورثبت نامورود

 

 حافظه‌هاي فلش در حال آلوده کردن رايانه‌هاي کل کشور هستند/گسترش ويروس مرگبار

اذهب الى الأسفل 
نويسندهپيام
IT88
در حال پیشرفت
در حال پیشرفت
IT88


تعداد پست ها : 9
دانشگاه : صنعتی همدان
رشته دانشگاهی : فناوری اطلاعات
تاریخ عضویت : 2010-09-10

حافظه‌هاي فلش در حال آلوده کردن رايانه‌هاي کل کشور هستند/گسترش ويروس مرگبار Empty
پستعنوان: حافظه‌هاي فلش در حال آلوده کردن رايانه‌هاي کل کشور هستند/گسترش ويروس مرگبار   حافظه‌هاي فلش در حال آلوده کردن رايانه‌هاي کل کشور هستند/گسترش ويروس مرگبار Empty2010-09-11, 18:50

نتشار سريع ويروسي رايانه‌اي موسوم به RootKit.T mpHider موجبات نگراني جدي تحليلگران امنيتي در کشور را فراهم آورده است.

به گزارش عصر ارتباط، طي هفته‌هاي اخير اخبار متعددي در فضاي مجازي از سوي کاربران که مبني بر افزايش خطاهايي مانند Script Error و حتي در برخي موارد ظاهرشدن صفحه آبي و خاموش‌شدن ناگهاني دستگاه‌ها به گوش مي‌رسيد. گمانه‌زني‌‌ها ورود يک ويروس جديد به ايران که ظاهرا با هيچ يک از آنتي‌ويروس‌هاي متعارف نيز قابل شناسايي نيست را افزايش داد؛ تمرکز اين شکايت‌ها در وبلاگ‌ها و اجتماعات مجازي فارسي‌زبان نيز اين احتمال را به وجود آورد که ويروس ياد شده يا در ايران طراحي‌شده يا دست‌کم هنوز هيچ منبع جهاني موفق به شناسايي آن نشده است.

نشانه‌هاي عجيب

ردگيري مجموعه اين اخبار پراکنده در نهايت نگاه‌ها را متــوجه انجمن ايـنتـــرنتي گريــن‌وي بـــا آدرس greenway.ir کرد که در يکي از نوشته‌هاي اخير خود خبر از وجود يک فايل عجيب در فهرست فايل‌هاي سيستم داده و نوشته است: «طي روزهاي اخير گزارش‌هاي زيادي از كار نكردن برنامه‌ها توسط توليدكنندگان نرم‌افزار و همچنين كاربرها داشتيم. خطاهاي اجرايي مانند Script Error يا عدم نمايش فيلم برنامه‌ها از حدود يك ماه پيش افزايش يافته و به نقطه بحراني رسيده است. همچنين در اين مدت توسط برخي از كاربران نيز مورد لطف قرار گرفته‌ايم كه نتيجه همه اين مشكلات با بررسي دو سيستم كه داراي رفتارهاي عجيب بوده‌اند وجود يك Rootkit جديد تشخيص داده شد. براي رفع مشكل در سيستم‌ها حتما توجه كنيد كه فايل MRxNet.sys از زير فهرست system32drivers سيستم شما حذف شود.

اين انجمن فني در نوشته ياد شده از ويژگي‌هاي منحصر به فرد اين فايل رفتار اين فايل ابراز شگفتي کرده و نوشته است: «اين فايل بسيار عجيب است، اولا روال‌هاي اين درايور به درستي نوشته نشده و در نتيجه اجازه نصب درايور بعدي در زنجيره را نمي‌دهد. ثانيا فايل‌هاي مشابه، داراي امضا نيستند ولي اين فايل داراي امضاي ديجيتال است و ثالثا، با اين كه در قسمت مشخصات فايل، نام مايكروسافت آورده شده، اما امضا كننده فايل Realtek است.

در پايان اين نوشته وعده مکاتبه با شركت‌هاي امنيتي متخصص در زمينه ويروس‌ها داده شده تا منشا مشكل به طور قطع يافت و نمونه فايل به بانك اطلاعاتي ويروس‌كش‌هاي معروف اضافه شود. وعده‌اي که در نهايت ما را به سايت ويروس‌کش تازه‌وارد VBA32 رساند.

ويروس پو‌ل‌ساز

ويروس‌کش جوان و تقريبا گمنام VirusBlokAda که بيشتر با نام تجاري VBA32 شناخته شده اصالتا يک ويروس‌کش متعلق به بلاروس يا همان روسيه سفيد است که در چند سال اخير اندک اندک جاي ‌پايي هم در بازار نرم‌افزاري ايران براي خود باز کرده است.

سايت ايراني اين ويروس‌کش با آدرس vba32-ir.com اولين سايتي است که به خبر انتشار RootKit.T mpHider واکنش نشان داد. در بخش اخبار اين سايت ويروس mpHider ويروس خطرناک خوانده شده و آمده است: «اين ويروس که از طريق حافظه‌هاي فلش منتشر شده و روي سيستم‌هاي کاربران ايراني نيز ديده شده، به محض باز کردن حافظه فلش روي سيستم مي‌نشيند و يک فايل با پسوند SYS توليد و در پوشه System32\Drivers ويندوز کپي مي‌کند.»

در اين سايت ادعا شده mpHider براي اولين بار توسط نرم‌افزارهاي شرکت امنيتي VirusBlockAda کشف و رديابي شده است و مي‌تواند مشکلات مهمي مانند ايجاد خطاي Blue Page و Reset شدن سيستم‌ها را روي کامپيوترهاي آلوده شده به وجود بياورد. از کار انداختن قفل‌هاي نرم‌افزاري روي ديسک‌هاي نوري از ديگر اثرات آلوده شدن سيستم‌هاي کامپيوتري به اين روت‌کيت هستند. در اين صورت کاربراني که از اين نرم‌افزارها استفاده مي‌کنند يا توليدکنندگاني که روي محصولات خود اين نرم‌افزار را استفاده کرده‌اند، دچار مشکل خواهند شد.

به گزارش اين سايت اين ويروس داراي امضاي Realtek است. در نتيجه در صورتي که اين شرکت نتواند براي مقابله با آن اقدامي کند، از کار افتادن سخت‌افزارهاي اين شرکت روي سيستم‌ها از ديگر عواقب انتشار و توزيع اين ويروس جديد خواهد بود.

RealTek همان غول صنايع نيمه‌هادي تايواني‌هاست که کارت‌هاي صدايش بسيار در ايران شناخته شده هستند ولي محصولاتش طيف گسترده‌اي از تلويزيون‌هاي ديجيتالي تا تجهيزات شبکه را شامل مي‌شود.

ناگفته نماند VBA32 نهايت استفاده را هم از اين ويروس مرگبار و تازه‌وارد کرده و در همين سايت لينک شناسايي و پاک‌سازي اين ويروس هم ارايه شده است.

گسترش سريع

تماس با عباس گنج‌خاني که لابراتوارش در شرکت بازيابي طلايي ژرف اولين گزارش‌ها درباره اين ويروس جديد را منتشر کرده، جزييات بيشتري از ابعاد جديد اين آلودگي را به دست مي‌دهد.

مديرعامل ژرف با اشاره به اين که لزوما پاک کردن فايل MRxNet.sys مشکلات کاربران با mpHider را حل نخواهد کرد، گفت: «اين فايل RootKit فقط ساخته مي‌شود تا مانع ديده‌شدن ويروس اصلي شود و استفاده از آنتي ويروس در چنين شرايطي کاملا ضروري است. چون آنتي‌ويروس علاوه بر حذف روت‌کيت ياد شده رجيستري را هم اصلاح مي‌کند که با توجه به تغييراتي که mpHider در قسمت SERVICES رجيستري ويندوز انجام مي‌دهد اصلاح اين بخش هم ضروري است.»

او با اشاره به مکاتبات صورت گرفته ميان VBA32 و Realtek گفت: «بدون شک اين ويروس خاص به ويژه با توجه به داشتن امضاي شرکت RealTek در لابراتوارهاي ويروس‌شناسي سراسر جهان در حال بحث است ولي احتمال آن که اين ويروس در واقع بر اثر يک کارکرد نادرست يکي از راه‌اندازهاي Realtek به وجود آمده باشد بسيار اندک است. چون اين تغييرات پس از فعال شدن ويروس اعمال مي‌شود.»

به گفته گنج‌خاني تا کنون دست‌کم 30 درصد رايانه‌هاي آمارگيري شده توسط لابراتوار شرکت ژرف داراي اين ويروس بوده‌اند و با توجه به اين نکته که اين ويروس از طريق حافظه‌هاي فلش منتقل مي‌شود و استفاده از اين حافظه‌ها در ايران بسيار رايج است احتمال گسترده‌تر شدن ابعاد آلودگي هم مي‌رود.

او ضمن اشاره به اين نکته که حتي نمونه‌هايي از اين آلودگي در رايانه‌ها و حتي سرورهاي بانک‌هاي معتبر کشور هم يافت شده است، هشدار داد: «چون سرورها معمولا قابليت اتصال به حافظه‌هاي فلش را ندارند وجود mpHider روي اين دستگاه‌ها احتمال تکثير آن از طريق شبکه را بالاتر برده است. در واقع خطر واقعي هنگامي بروز مي‌کند که مشخص بشود اين ويروس يا نسخه‌هاي جديد‌تر آن علاوه بر حافظه‌هاي فلش امکان انتقال از طريق شبکه را هم دارد که در اين صورت سرعت گسترش و خسارات وارده توسط mpHider وارد فاز بسيار جدي‌تري خواهد شد.»
بازگشت به بالاي صفحه اذهب الى الأسفل
 
حافظه‌هاي فلش در حال آلوده کردن رايانه‌هاي کل کشور هستند/گسترش ويروس مرگبار
بازگشت به بالاي صفحه 
صفحه 1 از 1
 مواضيع مماثلة
-
» آیا با 2 تکه کردن دانشگاه موافقید؟

صلاحيات هذا المنتدى:شما نمي توانيد در اين بخش به موضوعها پاسخ دهيد
تالار گفتگوی دانشگاه صنعتی همدان :: تالار عمومی :: پاتوق-
پرش به: