M3R
17-07-2010, 22:47
انتشار سريع ويروسي رايانهاي موسوم به RootKit.T mpHider موجبات نگراني جدي تحليلگران امنيتي در کشور را فراهم آورده است.
به گزارش عصر ارتباط، طي هفتههاي اخير اخبار متعددي در فضاي مجازي از سوي کاربران که مبني بر افزايش خطاهايي مانند Script Error و حتي در برخي موارد ظاهرشدن صفحه آبي و خاموششدن ناگهاني دستگاهها به گوش ميرسيد. گمانهزنيها ورود يک ويروس جديد به ايران که ظاهرا با هيچ يک از آنتيويروسهاي متعارف نيز قابل شناسايي نيست را افزايش داد؛ تمرکز اين شکايتها در وبلاگها و اجتماعات مجازي فارسيزبان نيز اين احتمال را به وجود آورد که ويروس ياد شده يا در ايران طراحيشده يا دستکم هنوز هيچ منبع جهاني موفق به شناسايي آن نشده است.
نشانههاي عجيب
ردگيري مجموعه اين اخبار پراکنده در نهايت نگاهها را متــوجه انجمن ايـنتـــرنتي گريــنوي بـــا آدرس greenway.ir کرد که در يکي از نوشتههاي اخير خود خبر از وجود يک فايل عجيب در فهرست فايلهاي سيستم داده و نوشته است: «طي روزهاي اخير گزارشهاي زيادي از كار نكردن برنامهها توسط توليدكنندگان نرمافزار و همچنين كاربرها داشتيم. خطاهاي اجرايي مانند Script Error يا عدم نمايش فيلم برنامهها از حدود يك ماه پيش افزايش يافته و به نقطه بحراني رسيده است. همچنين در اين مدت توسط برخي از كاربران نيز مورد لطف قرار گرفتهايم كه نتيجه همه اين مشكلات با بررسي دو سيستم كه داراي رفتارهاي عجيب بودهاند وجود يك Rootkit جديد تشخيص داده شد. براي رفع مشكل در سيستمها حتما توجه كنيد كه فايل MRxNet.sys از زير فهرست system32drivers سيستم شما حذف شود.
اين انجمن فني در نوشته ياد شده از ويژگيهاي منحصر به فرد اين فايل رفتار اين فايل ابراز شگفتي کرده و نوشته است: «اين فايل بسيار عجيب است، اولا روالهاي اين درايور به درستي نوشته نشده و در نتيجه اجازه نصب درايور بعدي در زنجيره را نميدهد. ثانيا فايلهاي مشابه، داراي امضا نيستند ولي اين فايل داراي امضاي ديجيتال است و ثالثا، با اين كه در قسمت مشخصات فايل، نام مايكروسافت آورده شده، اما امضا كننده فايل Realtek است.
در پايان اين نوشته وعده مکاتبه با شركتهاي امنيتي متخصص در زمينه ويروسها داده شده تا منشا مشكل به طور قطع يافت و نمونه فايل به بانك اطلاعاتي ويروسكشهاي معروف اضافه شود. وعدهاي که در نهايت ما را به سايت ويروسکش تازهوارد VBA32 رساند.
ويروس پولساز
ويروسکش جوان و تقريبا گمنام VirusBlokAda که بيشتر با نام تجاري VBA32 شناخته شده اصالتا يک ويروسکش متعلق به بلاروس يا همان روسيه سفيد است که در چند سال اخير اندک اندک جاي پايي هم در بازار نرمافزاري ايران براي خود باز کرده است.
سايت ايراني اين ويروسکش با آدرس vba32-ir.com اولين سايتي است که به خبر انتشار RootKit.T mpHider واکنش نشان داد. در بخش اخبار اين سايت ويروس mpHider ويروس خطرناک خوانده شده و آمده است: «اين ويروس که از طريق حافظههاي فلش منتشر شده و روي سيستمهاي کاربران ايراني نيز ديده شده، به محض باز کردن حافظه فلش روي سيستم مينشيند و يک فايل با پسوند SYS توليد و در پوشه System32\Drivers ويندوز کپي ميکند.»
در اين سايت ادعا شده mpHider براي اولين بار توسط نرمافزارهاي شرکت امنيتي VirusBlockAda کشف و رديابي شده است و ميتواند مشکلات مهمي مانند ايجاد خطاي Blue Page و Reset شدن سيستمها را روي کامپيوترهاي آلوده شده به وجود بياورد. از کار انداختن قفلهاي نرمافزاري روي ديسکهاي نوري از ديگر اثرات آلوده شدن سيستمهاي کامپيوتري به اين روتکيت هستند. در اين صورت کاربراني که از اين نرمافزارها استفاده ميکنند يا توليدکنندگاني که روي محصولات خود اين نرمافزار را استفاده کردهاند، دچار مشکل خواهند شد.
به گزارش اين سايت اين ويروس داراي امضاي Realtek است. در نتيجه در صورتي که اين شرکت نتواند براي مقابله با آن اقدامي کند، از کار افتادن سختافزارهاي اين شرکت روي سيستمها از ديگر عواقب انتشار و توزيع اين ويروس جديد خواهد بود.
RealTek همان غول صنايع نيمههادي تايوانيهاست که کارتهاي صدايش بسيار در ايران شناخته شده هستند ولي محصولاتش طيف گستردهاي از تلويزيونهاي ديجيتالي تا تجهيزات شبکه را شامل ميشود.
ناگفته نماند VBA32 نهايت استفاده را هم از اين ويروس مرگبار و تازهوارد کرده و در همين سايت لينک شناسايي و پاکسازي اين ويروس هم ارايه شده است.
گسترش سريع
تماس با عباس گنجخاني که لابراتوارش در شرکت بازيابي طلايي ژرف اولين گزارشها درباره اين ويروس جديد را منتشر کرده، جزييات بيشتري از ابعاد جديد اين آلودگي را به دست ميدهد.
مديرعامل ژرف با اشاره به اين که لزوما پاک کردن فايل MRxNet.sys مشکلات کاربران با mpHider را حل نخواهد کرد، گفت: «اين فايل RootKit فقط ساخته ميشود تا مانع ديدهشدن ويروس اصلي شود و استفاده از آنتي ويروس در چنين شرايطي کاملا ضروري است. چون آنتيويروس علاوه بر حذف روتکيت ياد شده رجيستري را هم اصلاح ميکند که با توجه به تغييراتي که mpHider در قسمت SERVICES رجيستري ويندوز انجام ميدهد اصلاح اين بخش هم ضروري است.»
او با اشاره به مکاتبات صورت گرفته ميان VBA32 و Realtek گفت: «بدون شک اين ويروس خاص به ويژه با توجه به داشتن امضاي شرکت RealTek در لابراتوارهاي ويروسشناسي سراسر جهان در حال بحث است ولي احتمال آن که اين ويروس در واقع بر اثر يک کارکرد نادرست يکي از راهاندازهاي Realtek به وجود آمده باشد بسيار اندک است. چون اين تغييرات پس از فعال شدن ويروس اعمال ميشود.»
به گفته گنجخاني تا کنون دستکم 30 درصد رايانههاي آمارگيري شده توسط لابراتوار شرکت ژرف داراي اين ويروس بودهاند و با توجه به اين نکته که اين ويروس از طريق حافظههاي فلش منتقل ميشود و استفاده از اين حافظهها در ايران بسيار رايج است احتمال گستردهتر شدن ابعاد آلودگي هم ميرود.
او ضمن اشاره به اين نکته که حتي نمونههايي از اين آلودگي در رايانهها و حتي سرورهاي بانکهاي معتبر کشور هم يافت شده است، هشدار داد: «چون سرورها معمولا قابليت اتصال به حافظههاي فلش را ندارند وجود mpHider روي اين دستگاهها احتمال تکثير آن از طريق شبکه را بالاتر برده است. در واقع خطر واقعي هنگامي بروز ميکند که مشخص بشود اين ويروس يا نسخههاي جديدتر آن علاوه بر حافظههاي فلش امکان انتقال از طريق شبکه را هم دارد که در اين صورت سرعت گسترش و خسارات وارده توسط mpHider وارد فاز بسيار جديتري خواهد شد.»
به گزارش عصر ارتباط، طي هفتههاي اخير اخبار متعددي در فضاي مجازي از سوي کاربران که مبني بر افزايش خطاهايي مانند Script Error و حتي در برخي موارد ظاهرشدن صفحه آبي و خاموششدن ناگهاني دستگاهها به گوش ميرسيد. گمانهزنيها ورود يک ويروس جديد به ايران که ظاهرا با هيچ يک از آنتيويروسهاي متعارف نيز قابل شناسايي نيست را افزايش داد؛ تمرکز اين شکايتها در وبلاگها و اجتماعات مجازي فارسيزبان نيز اين احتمال را به وجود آورد که ويروس ياد شده يا در ايران طراحيشده يا دستکم هنوز هيچ منبع جهاني موفق به شناسايي آن نشده است.
نشانههاي عجيب
ردگيري مجموعه اين اخبار پراکنده در نهايت نگاهها را متــوجه انجمن ايـنتـــرنتي گريــنوي بـــا آدرس greenway.ir کرد که در يکي از نوشتههاي اخير خود خبر از وجود يک فايل عجيب در فهرست فايلهاي سيستم داده و نوشته است: «طي روزهاي اخير گزارشهاي زيادي از كار نكردن برنامهها توسط توليدكنندگان نرمافزار و همچنين كاربرها داشتيم. خطاهاي اجرايي مانند Script Error يا عدم نمايش فيلم برنامهها از حدود يك ماه پيش افزايش يافته و به نقطه بحراني رسيده است. همچنين در اين مدت توسط برخي از كاربران نيز مورد لطف قرار گرفتهايم كه نتيجه همه اين مشكلات با بررسي دو سيستم كه داراي رفتارهاي عجيب بودهاند وجود يك Rootkit جديد تشخيص داده شد. براي رفع مشكل در سيستمها حتما توجه كنيد كه فايل MRxNet.sys از زير فهرست system32drivers سيستم شما حذف شود.
اين انجمن فني در نوشته ياد شده از ويژگيهاي منحصر به فرد اين فايل رفتار اين فايل ابراز شگفتي کرده و نوشته است: «اين فايل بسيار عجيب است، اولا روالهاي اين درايور به درستي نوشته نشده و در نتيجه اجازه نصب درايور بعدي در زنجيره را نميدهد. ثانيا فايلهاي مشابه، داراي امضا نيستند ولي اين فايل داراي امضاي ديجيتال است و ثالثا، با اين كه در قسمت مشخصات فايل، نام مايكروسافت آورده شده، اما امضا كننده فايل Realtek است.
در پايان اين نوشته وعده مکاتبه با شركتهاي امنيتي متخصص در زمينه ويروسها داده شده تا منشا مشكل به طور قطع يافت و نمونه فايل به بانك اطلاعاتي ويروسكشهاي معروف اضافه شود. وعدهاي که در نهايت ما را به سايت ويروسکش تازهوارد VBA32 رساند.
ويروس پولساز
ويروسکش جوان و تقريبا گمنام VirusBlokAda که بيشتر با نام تجاري VBA32 شناخته شده اصالتا يک ويروسکش متعلق به بلاروس يا همان روسيه سفيد است که در چند سال اخير اندک اندک جاي پايي هم در بازار نرمافزاري ايران براي خود باز کرده است.
سايت ايراني اين ويروسکش با آدرس vba32-ir.com اولين سايتي است که به خبر انتشار RootKit.T mpHider واکنش نشان داد. در بخش اخبار اين سايت ويروس mpHider ويروس خطرناک خوانده شده و آمده است: «اين ويروس که از طريق حافظههاي فلش منتشر شده و روي سيستمهاي کاربران ايراني نيز ديده شده، به محض باز کردن حافظه فلش روي سيستم مينشيند و يک فايل با پسوند SYS توليد و در پوشه System32\Drivers ويندوز کپي ميکند.»
در اين سايت ادعا شده mpHider براي اولين بار توسط نرمافزارهاي شرکت امنيتي VirusBlockAda کشف و رديابي شده است و ميتواند مشکلات مهمي مانند ايجاد خطاي Blue Page و Reset شدن سيستمها را روي کامپيوترهاي آلوده شده به وجود بياورد. از کار انداختن قفلهاي نرمافزاري روي ديسکهاي نوري از ديگر اثرات آلوده شدن سيستمهاي کامپيوتري به اين روتکيت هستند. در اين صورت کاربراني که از اين نرمافزارها استفاده ميکنند يا توليدکنندگاني که روي محصولات خود اين نرمافزار را استفاده کردهاند، دچار مشکل خواهند شد.
به گزارش اين سايت اين ويروس داراي امضاي Realtek است. در نتيجه در صورتي که اين شرکت نتواند براي مقابله با آن اقدامي کند، از کار افتادن سختافزارهاي اين شرکت روي سيستمها از ديگر عواقب انتشار و توزيع اين ويروس جديد خواهد بود.
RealTek همان غول صنايع نيمههادي تايوانيهاست که کارتهاي صدايش بسيار در ايران شناخته شده هستند ولي محصولاتش طيف گستردهاي از تلويزيونهاي ديجيتالي تا تجهيزات شبکه را شامل ميشود.
ناگفته نماند VBA32 نهايت استفاده را هم از اين ويروس مرگبار و تازهوارد کرده و در همين سايت لينک شناسايي و پاکسازي اين ويروس هم ارايه شده است.
گسترش سريع
تماس با عباس گنجخاني که لابراتوارش در شرکت بازيابي طلايي ژرف اولين گزارشها درباره اين ويروس جديد را منتشر کرده، جزييات بيشتري از ابعاد جديد اين آلودگي را به دست ميدهد.
مديرعامل ژرف با اشاره به اين که لزوما پاک کردن فايل MRxNet.sys مشکلات کاربران با mpHider را حل نخواهد کرد، گفت: «اين فايل RootKit فقط ساخته ميشود تا مانع ديدهشدن ويروس اصلي شود و استفاده از آنتي ويروس در چنين شرايطي کاملا ضروري است. چون آنتيويروس علاوه بر حذف روتکيت ياد شده رجيستري را هم اصلاح ميکند که با توجه به تغييراتي که mpHider در قسمت SERVICES رجيستري ويندوز انجام ميدهد اصلاح اين بخش هم ضروري است.»
او با اشاره به مکاتبات صورت گرفته ميان VBA32 و Realtek گفت: «بدون شک اين ويروس خاص به ويژه با توجه به داشتن امضاي شرکت RealTek در لابراتوارهاي ويروسشناسي سراسر جهان در حال بحث است ولي احتمال آن که اين ويروس در واقع بر اثر يک کارکرد نادرست يکي از راهاندازهاي Realtek به وجود آمده باشد بسيار اندک است. چون اين تغييرات پس از فعال شدن ويروس اعمال ميشود.»
به گفته گنجخاني تا کنون دستکم 30 درصد رايانههاي آمارگيري شده توسط لابراتوار شرکت ژرف داراي اين ويروس بودهاند و با توجه به اين نکته که اين ويروس از طريق حافظههاي فلش منتقل ميشود و استفاده از اين حافظهها در ايران بسيار رايج است احتمال گستردهتر شدن ابعاد آلودگي هم ميرود.
او ضمن اشاره به اين نکته که حتي نمونههايي از اين آلودگي در رايانهها و حتي سرورهاي بانکهاي معتبر کشور هم يافت شده است، هشدار داد: «چون سرورها معمولا قابليت اتصال به حافظههاي فلش را ندارند وجود mpHider روي اين دستگاهها احتمال تکثير آن از طريق شبکه را بالاتر برده است. در واقع خطر واقعي هنگامي بروز ميکند که مشخص بشود اين ويروس يا نسخههاي جديدتر آن علاوه بر حافظههاي فلش امکان انتقال از طريق شبکه را هم دارد که در اين صورت سرعت گسترش و خسارات وارده توسط mpHider وارد فاز بسيار جديتري خواهد شد.»