کالبدشکافي ويروس ها: ويروس مجيد - کالبدشکافی ویروس ها نسخه متنی

اینجــــا یک کتابخانه دیجیتالی است

با بیش از 100000 منبع الکترونیکی رایگان به زبان فارسی ، عربی و انگلیسی

جستجو بر اساس ... همه عنوان پدیدآور موضوع یادداشت تمام متن
اصطلاحنامه مجموعه ها مرورالفبایی لغت نامه دهخدا
جستجو در لغت نامه
بیشتر
کتابخانه شخصی پرسش از کتابدار ارسال منبع

کالبدشکافی ویروس ها - نسخه متنی

| نمايش فراداده ، افزودن یک نقد و بررسی
افزودن به کتابخانه شخصی
میخواهم بخوانم
درحال خواندن
خوانده شده
ارسال به دوستان

آدرس پست الکترونیک گیرنده :

آدرس پست الکترونیک فرستنده :

نام و نام خانوارگی فرستنده :

پیغام برای گیرنده ( حداکثر 250 حرف ) :

کد امنیتی را وارد نمایید

ارسال
جستجو در متن کتاب
بیشتر
تنظیمات قلم

فونت

اندازه قلم

+ - پیش فرض

حالت نمایش

روز نیمروز شب
جستجو در لغت نامه
بیشتر
توضیحات
افزودن یادداشت جدید

کالبدشکافي ويروس ها: ويروس مجيد

اين ويروس
ايرانى كه اندازه آن 2930بايت است، بسيار
شبيه ويروس ONEHALFاست و همانند آن،
اطلاعات را كد (تخريب)مي كند. اين ويروس
فايل هاى با پسوند COM،EXE و نيز ARTITION TABLE
هارد ديسك را آلوده مى كند. در صورتى كه
PARTITION TABLE يك سيستم به اين ويروس آلوده
باشد هربار كه سيستم با هارد ديسك آلوده
راه اندازى مى شود ويروس
اطلاعات سه سيلندر از هارد ديسك را به
طور كامل كد (تخريب) مى كند البته تا
زمانى كه خود ويروس فعال است و كنترل
عمليات ورودى خروجى (I/O) را در اختيار
دارد، نمي توان متوجه اين تخريب شد.

هنگامى كه يك برنامه آلوده به ويروس
مجيد اجرا مى شود، ابتدا وجود ويروس در
حافظه را چك مى كند. اگر ويروس قبلا در
حافظه مقيم شده و كنترل وقفه DOS) INTERRUPT
21H) را در اختيار گرفته باشد، هنگام
اجراى تابع 5E5E وقفه 21H (اين تابع توسط
ويروس تعريف شده است) در ثبات AX مقدار E5E5
را قرار مى دهد.

بنابراين برنامه آلوده به ويروس با
اجراى اين تابع متوجه مى شود كه
ويروس در حافظه مقيم شده است يا خير.
اگر ويروس قبلا در حافظه مقيم نشده
باشد، ابتدا PARTITION TABLE هاردديسك را آلوده
كرده و سپس درحافظه مقيم مى شود.
هنگام مقيم شدن ويروس مجيد در حافظه،
ويروس كنترل توابع 11H، 4EH(SEARCH FOR FIRST MATCH)،4CH
(TERMINATE PROGRAM) ،3DH (OPEN FILE)، CLOSE FILE) 3EH، (EXTENDE
OPEN)، CREAT)3CH (OR TRUNCATE HANDLE، 5BH (CREAT NEW HANDLE)،56H
(RENAME FILE) از وقفه
DOS (INTERRUPT 21H) و توابع 2H و 3H از وقفه 13H را در
اختيار مي گيرد.

ويروس با در اختيار گرفتن كنترل توابع
11H، 12H، 4EH، 4FH وقفه 21H هنگام دايركتورى
گرفتن و مشاهده فهرست فايل ها و يا هنگام
جستجوى يك فايل خاص، در صورتى كه فايلى
ويروسى باشد، به جاى نشان دادن
اندازه واقعى فايل آلوده، اندازه فايل
را در حالت غيرويروسى نشان مى دهد، يعنى 2930
بايت اندازه ويروس را از اندازه فعلى
فايل كم كرده و اندازه فايل قبل از آلوده
شدن
را محاسبه كرده و نشان مى دهد. همين طور
با كنترل توابع 4BOOH، 3DH، 3EH ،6COOH، 56H، 3CH، 5BH
و هنگام اجراى برنامه ها باز و بسته
كردن فايل ها، تغيير نام دادن آنها و
ايجاد فايل ها، فايل هاى با پسوند COM، EXE
هاى موجود بر روى فلاپى درايوها را
آلوده مى كند. البته فايل هاى SCAN، CLEAN،
FINDVIR، GUARD، NDD، VSAFE، MSAV را ويروسى نمى كند.

اين ويروس در هنگام اجراى برنامه NC و در
محيط NC فايل ها را آلوده نمى كند.

ضمنا
هنگام اجراى برنامه اى با نام GHAREEB و يا
كار با فايلى به اين نام، يك صداى جير
مانند توليد كرده و سپس پيغام زير را بر
روى صفحه به نمايش درآورده و منتظر
فشرده شدن يك كليد مى ماند. OHHHHH ... MAJIDI AM
HERE. THEY KILL THE LOVE. I AM SOLITARY. HERE IS VERY DARK. HELP ME...
HELP ...ME... HELP همانطور كه گفته شد بعد از
آلوده شدن PARTITION TABLE هارد ديسك به اين
ويروس، هربار كه سيستم آلوده راه اندازى
(BOOT) مى شود، ويروس اطلاعات سه سيلندر
از هارد ديسك را به طور كامل كد مى كند.
البته تا زمانى كه ويروس در حافظه فعال
است و كنترل توابع (READ DISK)
2H، 3H (WRITE TO DISK) وقفه 13Hرا در اختيار دارد،
هنگام خواندن اطلاعات سكتورهاى
تخرياشده (كد شده)، ويروس ابتدا
اطلاعات را رمزگشايى كرده و سپس آنها را
در اختيار برنامه ها قرار مى دهد. همين طور
هنگامى كه اطلاعات بر روى سكتورهايى كه
در محدوده تخريا شده قرار دارند نوشته
مى شود. اول توسط ويروس كد شده و سپس
بر روى هاردديسك كپى مى شوند. در صورتى
كه ويروس از روى PARTITION TABLE پاك شود و يا
سيستم با يك ديسكت غيرآلوده راه اندازى
(BOOT) شود، آن وقت مى توان متوجه به تخريب
اطلاعات شد.

بعد از اينكه (BOOT) شود، آن وقت مىتوان
متوجه به تخريا اطلاعات شد. بعد از اينكه
تمامى اطلاعات محدوده مورد نظر كه
تقريباا شامل تمامى هاردديسك مى شود
توسط ويروس تبديل به كد شد، آن وقت
هنگام اجراى برنامه ها در ساعت 10 تا 12
شا، ويروس يك صداى جيرمانند توليد كرده
و سپس صفحه را پاك كرده و پيغام خود را بر
روى صفحه نوشته و بعد از 15 ثانيه مكث
برنامه ها مورد نظر را اجرا مى كند. لازم
به يادآورى است كه اگر اين ويروس را با
هر برنامه ويروس كشى غير از ويروس كش
ايمن كه اطلاعات را بازسازى نمى كنند و
يا با FDISK/MBR از روى PARTITIONTABLE آلوده پاك
كنيد، آن دسته از اطلاعات كه قبلا توسط
ويروس به صورت كد درآمده بودند از بين
خواهند رفت كه بسته به مدت زمان عملكرد
ويروس و ميزان تخريب اطلاعات، تمام و يا
قسمتى از اطلاعات هارد ديسك سيستم شما
از بين خواهد رفت.

نرم افزار ايمن علاوه بر پاكسازى كامل
ويروس از روى فايل هاى آلوده و PARTITIONTABLE
مي تواند اطلاعات كد شده (تخريب شده)
توسط ويروس را نيز بازسازى كند.1603;امل
ويروس از روى فايل هاى آلوده و PARTITIONTABLE
مي تواند اطلاعات كد شده (تخريب شده)
توسط ويروس را نيز بازسازى كند.

/ 1