> كالبدشكافي ويروس ها: ويروس مجيد

این ویروس ایرانى که اندازه آن 2930بایت است، بسیار شبیه ویروس ONEHALFاست و همانند آن، اطلاعات را کد (تخریب)می کند. این ویروس فایل هاى با پسوند COM،EXE و نیز ARTITION TABLE هارد دیسک را آلوده مى کند. در صورتى که PARTITION TABLE یک سیستم به این ویروس آلوده باشد هربار که سیستم با هارد دیسک آلوده راه اندازى مى شود ویروس اطلاعات سه سیلندر از هارد دیسک را به طور کامل کد (تخریب) مى کند البته تا زمانى که خود ویروس فعال است و کنترل عملیات ورودى خروجى (I/O) را در اختیار دارد، نمی توان متوجه این تخریب شد.

هنگامى که یک برنامه آلوده به ویروس مجید اجرا مى شود، ابتدا وجود ویروس در حافظه را چک مى کند. اگر ویروس قبلا در حافظه مقیم شده و کنترل وقفه DOS) INTERRUPT 21H) را در اختیار گرفته باشد، هنگام اجراى تابع 5E5E وقفه 21H (این تابع توسط ویروس تعریف شده است) در ثبات AX مقدار E5E5 را قرار مى دهد.

بنابراین برنامه آلوده به ویروس با اجراى این تابع متوجه مى شود که ویروس در حافظه مقیم شده است یا خیر. اگر ویروس قبلا در حافظه مقیم نشده باشد، ابتدا PARTITION TABLE هارددیسک را آلوده کرده و سپس درحافظه مقیم مى شود.

هنگام مقیم شدن ویروس مجید در حافظه، ویروس کنترل توابع 11H، 4EH(SEARCH FOR FIRST MATCH)،4CH (TERMINATE PROGRAM) ،3DH (OPEN FILE)، CLOSE FILE) 3EH، (EXTENDE OPEN)، CREAT)3CH (OR TRUNCATE HANDLE، 5BH (CREAT NEW HANDLE)،56H (RENAME FILE) از وقفه DOS (INTERRUPT 21H) و توابع 2H و 3H از وقفه 13H را در اختیار می گیرد.

ویروس با در اختیار گرفتن کنترل توابع 11H، 12H، 4EH، 4FH وقفه 21H هنگام دایرکتورى گرفتن و مشاهده فهرست فایل ها و یا هنگام جستجوى یک فایل خاص، در صورتى که فایلى ویروسى باشد، به جاى نشان دادن اندازه واقعى فایل آلوده، اندازه فایل را در حالت غیرویروسى نشان مى دهد، یعنى 2930 بایت اندازه ویروس را از اندازه فعلى فایل کم کرده و اندازه فایل قبل از آلوده شدن را محاسبه کرده و نشان مى دهد. همین طور با کنترل توابع 4BOOH، 3DH، 3EH ،6COOH، 56H، 3CH، 5BH و هنگام اجراى برنامه ها باز و بسته کردن فایل ها، تغییر نام دادن آنها و ایجاد فایل ها، فایل هاى با پسوند COM، EXE هاى موجود بر روى فلاپى درایوها را آلوده مى کند. البته فایل هاى SCAN، CLEAN، FINDVIR، GUARD، NDD، VSAFE، MSAV را ویروسى نمى کند.

این ویروس در هنگام اجراى برنامه NC و در محیط NC فایل ها را آلوده نمى کند. ضمنا هنگام اجراى برنامه اى با نام GHAREEB و یا کار با فایلى به این نام، یک صداى جیر مانند تولید کرده و سپس پیغام زیر را بر روى صفحه به نمایش درآورده و منتظر فشرده شدن یک کلید مى ماند. OHHHHH ... MAJIDI AM HERE. THEY KILL THE LOVE. I AM SOLITARY. HERE IS VERY DARK. HELP ME... HELP ...ME... HELP همانطور که گفته شد بعد از آلوده شدن PARTITION TABLE هارد دیسک به این ویروس، هربار که سیستم آلوده راه اندازى (BOOT) مى شود، ویروس اطلاعات سه سیلندر از هارد دیسک را به طور کامل کد مى کند. البته تا زمانى که ویروس در حافظه فعال است و کنترل توابع (READ DISK) 2H، 3H (WRITE TO DISK) وقفه 13Hرا در اختیار دارد، هنگام خواندن اطلاعات سکتورهاى تخریاشده (کد شده)، ویروس ابتدا اطلاعات را رمزگشایى کرده و سپس آنها را در اختیار برنامه ها قرار مى دهد. همین طور هنگامى که اطلاعات بر روى سکتورهایى که در محدوده تخریا شده قرار دارند نوشته مى شود. اول توسط ویروس کد شده و سپس بر روى هارددیسک کپى مى شوند. در صورتى که ویروس از روى PARTITION TABLE پاک شود و یا سیستم با یک دیسکت غیرآلوده راه اندازى (BOOT) شود، آن وقت مى توان متوجه به تخریب اطلاعات شد.

بعد از اینکه (BOOT) شود، آن وقت مىتوان متوجه به تخریا اطلاعات شد. بعد از اینکه تمامى اطلاعات محدوده مورد نظر که تقریباا شامل تمامى هارددیسک مى شود توسط ویروس تبدیل به کد شد، آن وقت هنگام اجراى برنامه ها در ساعت 10 تا 12 شا، ویروس یک صداى جیرمانند تولید کرده و سپس صفحه را پاک کرده و پیغام خود را بر روى صفحه نوشته و بعد از 15 ثانیه مکث برنامه ها مورد نظر را اجرا مى کند. لازم به یادآورى است که اگر این ویروس را با هر برنامه ویروس کشى غیر از ویروس کش ایمن که اطلاعات را بازسازى نمى کنند و یا با FDISK/MBR از روى PARTITIONTABLE آلوده پاک کنید، آن دسته از اطلاعات که قبلا توسط ویروس به صورت کد درآمده بودند از بین خواهند رفت که بسته به مدت زمان عملکرد ویروس و میزان تخریب اطلاعات، تمام و یا قسمتى از اطلاعات هارد دیسک سیستم شما از بین خواهد رفت.

نرم افزار ایمن علاوه بر پاکسازى کامل ویروس از روى فایل هاى آلوده و PARTITIONTABLE می تواند اطلاعات کد شده (تخریب شده) توسط ویروس را نیز بازسازى کند.1603;امل ویروس از روى فایل هاى آلوده و PARTITIONTABLE می تواند اطلاعات کد شده (تخریب شده) توسط ویروس را نیز بازسازى کند.


(0) نظر
برچسب ها :
X