engeneer_19
19th September 2009, 03:58 PM
این ویروس ایرانی، فایلهای com و Partition Table دیسک سخت را آلوده میکند. اندازهٔ آن در فایلهای com ، ۲۶۷۶ بایت است. ضمنا" برای این که کنترل وقفهی ۲۱H در هنگام بوت شدن سیستم را در اختیار بگیرد،یک روتین۹۰ بایتی را به انتهای فایل Command.com (یا هر Command Interperter دیگری که توسط دستور SHELL در فایل Config.sys مشخص شده باشد) اضافه مینماید.
ویروس Mortezania.۲۶۷۶
این ویروس ایرانی، فایلهای com و Partition Table دیسک سخت را آلوده میکند. اندازهٔ آن در فایلهای com ، ۲۶۷۶ بایت است. ضمنا" برای این که کنترل وقفهی ۲۱H در هنگام بوت شدن سیستم را در اختیار بگیرد،یک روتین۹۰ بایتی را به انتهای فایل Command.com (یا هر Command Interperter دیگری که توسط دستور SHELL در فایل Config.sys مشخص شده باشد) اضافه مینماید. هنگامی که فایل com آلوده به این ویروس اجرا میگردد، ویروس ابتدا به دنبال عبارت “COMSPEC =“ در Environment Block گشته و روتین ۹۰ بایتی مورد نظر خود را در انتهای فایلی که نامش در جلوی عبارت “COMSPEC =“ است(معمولا" فایل C:command,com) را مینویسد. بعد از آن، سکتور شمارهٔ ۱ ساید شمارهٔ صفر از سیلندر صفر(سکتور (Partition Table دیسکسخت اول را خوانده و در صورتی که قبلا" آلوده نشده باشد، یک کپی از آن را در سکتور ۲ ساید صفر از سیلندر صفر همان دیسک سخت قرار داده و سپس Partition Table را آلوده میکند. مابقی ویروس را نیز در سکتور ۳ به بعد مینویسد.
بعد از آلوده کردن Partition Table، تاریخ سیستم را برابر با روز پنجم از ماه دهم (پنج اکتبر ) سال ۱۹۹۸ میلادی قرار میدهد و سپس فایل com اصلی اجرا میشود.
ویروس Mortezania ، توسط Partition Table آلوده، در حافظه مقیم میگردد. به این صورت که وقتی سیستم باPartition Table آلوده راهاندازی میشود، ویروس ابتدا اندازهٔ حافظهی Conventional را که BIOS گزارش میکند، برابر با ۶۳۷ کیلوبایت قرار داده و سپس خود را از سکتور ۳ ساید صفر سیلندر صفر دیسکسخت، در آدرس ۹F۴۰:۰۱۰۰ حافظه کپی میکند. سگمنت ۹F۴۰ در فضای آدرسدهی بالاتر از ۶۳۷ کیلوبایت قرار دارد و چون اندازهٔ حافظهی Conventional برابر با ۶۳۷ کیلوبایت قرار داده شده است، بنابراین سیستم عامل و برنامههای دیگری که بعد از ویروس اجرا میشوند، از حافظهی اختصاص داده شده به ویروس استفاده نخواهند کرد. اکثر ویروسهایی که در Partition Table یاBoot Sector را آلوده میکنند، برای در اختیار گرفتن حافظهی مورد نیاز خود از چنین تکنیکهایی استفاده مینمایند.
بعد از مقیم شدن ویروس در حافظه، آدرس وقفهی ۱۳H به آدرس ۹F۴۰:۰۸۳۹ تغییر یافته و ویروس، کنترل وقفهی ۱۳H را در اختیار میگیرد. برای کنترل وقفهی ۲۱H نیز از روتینی که درCommand.com آلوده قرار داده شده و هنگام بوت شدن سیستم اجرا میشود، استفاده میگردد. این روتین، آدرس وقفهی ۲۱H را به آدرس ۹F۴۰:۰۱۷D تغییر میدهد. البته چنانچه سیستم با Partition Table آلوده راهاندازی نشود و ویروس در حافظه مقیم نباشد، اجرای Command.com آلوده و تغییر آدرس وقفهی ۲۱H باعث Hang کردن سیستم خواهد شد.
بعد از آن که ویروس در حافظه مقیم و فعال شد، کنترل توابع ۲ (خواندن سکتور) و ۳(نوشتن بر روی سکتور) از وقفهی ۱۳H و نیز توابع ۳D (باز کردن فایل) و ۴B (اجرای برنامه) از وقفهی ۲۱H را در اختیار میگیرد. به این ترتیب، اجازهٔ نوشتن بر روی سکتور ۱، ساید صفر، سیلندر صفر از دیسکسخت اول(Partition Table آلوده) با استفاده از تابع ۳ وقفهی ۱۳H را نمیدهد. ضمنا" هنگام خواندن سکتور فوق با استفاده از تابع ۲ وقفهی ۱۳H ، چنانچه تاریخ سیستم روز پنجم به بعد از ماههای ۱۱ و ۱۲ (نوامبر و دسامبر) سالهای ۱۹۹۸ به بعد باشد، بر روی سکتور مذکور نوشته شده و اطلاعات آن را کلا" تخریب کرده و سیستم را Reset میکند. با از بین رفتن اطلاعات تقسیمبندی دیسک سخت، دیگر درایوهای منطقی قابل دسترسی نخواهند بود.
این ویروس در دقایق فرد، اجازهٔ باز شدن فایلهای باپسوند BMP,PCX,GIF و JPG با استفاده از تابع ۳D وقفهی ۲۱H را نمیدهد. همچنین هنگام اجرای فایلهایی با نام SCAN یا FINDVIRU با استفاده از تابع ۴B وقفهی ۲۱H، پیغام زیر را نمایش داده و فایلهای مذکور را اجرا نمیکند:
This Program Is Too Big To Fit In Memory.
این ویروس هنگام اجرای فایلهای با پسوند com توسط تابع ۴B وقفهی ۲۱H، آنها را آلوده میکند. درون فایلهای آلوده به این ویروس، پیغام زیر را میتوان مشاهده کرد:
ـ A.Mortezania
این ویروس گونههای دیگری نیز دارد که توسط نرمافزار ایمن قابل شناسایی و پاکسازی میباشد.
کامپیوتر جوان
{wave}
ویروس Mortezania.۲۶۷۶
این ویروس ایرانی، فایلهای com و Partition Table دیسک سخت را آلوده میکند. اندازهٔ آن در فایلهای com ، ۲۶۷۶ بایت است. ضمنا" برای این که کنترل وقفهی ۲۱H در هنگام بوت شدن سیستم را در اختیار بگیرد،یک روتین۹۰ بایتی را به انتهای فایل Command.com (یا هر Command Interperter دیگری که توسط دستور SHELL در فایل Config.sys مشخص شده باشد) اضافه مینماید. هنگامی که فایل com آلوده به این ویروس اجرا میگردد، ویروس ابتدا به دنبال عبارت “COMSPEC =“ در Environment Block گشته و روتین ۹۰ بایتی مورد نظر خود را در انتهای فایلی که نامش در جلوی عبارت “COMSPEC =“ است(معمولا" فایل C:command,com) را مینویسد. بعد از آن، سکتور شمارهٔ ۱ ساید شمارهٔ صفر از سیلندر صفر(سکتور (Partition Table دیسکسخت اول را خوانده و در صورتی که قبلا" آلوده نشده باشد، یک کپی از آن را در سکتور ۲ ساید صفر از سیلندر صفر همان دیسک سخت قرار داده و سپس Partition Table را آلوده میکند. مابقی ویروس را نیز در سکتور ۳ به بعد مینویسد.
بعد از آلوده کردن Partition Table، تاریخ سیستم را برابر با روز پنجم از ماه دهم (پنج اکتبر ) سال ۱۹۹۸ میلادی قرار میدهد و سپس فایل com اصلی اجرا میشود.
ویروس Mortezania ، توسط Partition Table آلوده، در حافظه مقیم میگردد. به این صورت که وقتی سیستم باPartition Table آلوده راهاندازی میشود، ویروس ابتدا اندازهٔ حافظهی Conventional را که BIOS گزارش میکند، برابر با ۶۳۷ کیلوبایت قرار داده و سپس خود را از سکتور ۳ ساید صفر سیلندر صفر دیسکسخت، در آدرس ۹F۴۰:۰۱۰۰ حافظه کپی میکند. سگمنت ۹F۴۰ در فضای آدرسدهی بالاتر از ۶۳۷ کیلوبایت قرار دارد و چون اندازهٔ حافظهی Conventional برابر با ۶۳۷ کیلوبایت قرار داده شده است، بنابراین سیستم عامل و برنامههای دیگری که بعد از ویروس اجرا میشوند، از حافظهی اختصاص داده شده به ویروس استفاده نخواهند کرد. اکثر ویروسهایی که در Partition Table یاBoot Sector را آلوده میکنند، برای در اختیار گرفتن حافظهی مورد نیاز خود از چنین تکنیکهایی استفاده مینمایند.
بعد از مقیم شدن ویروس در حافظه، آدرس وقفهی ۱۳H به آدرس ۹F۴۰:۰۸۳۹ تغییر یافته و ویروس، کنترل وقفهی ۱۳H را در اختیار میگیرد. برای کنترل وقفهی ۲۱H نیز از روتینی که درCommand.com آلوده قرار داده شده و هنگام بوت شدن سیستم اجرا میشود، استفاده میگردد. این روتین، آدرس وقفهی ۲۱H را به آدرس ۹F۴۰:۰۱۷D تغییر میدهد. البته چنانچه سیستم با Partition Table آلوده راهاندازی نشود و ویروس در حافظه مقیم نباشد، اجرای Command.com آلوده و تغییر آدرس وقفهی ۲۱H باعث Hang کردن سیستم خواهد شد.
بعد از آن که ویروس در حافظه مقیم و فعال شد، کنترل توابع ۲ (خواندن سکتور) و ۳(نوشتن بر روی سکتور) از وقفهی ۱۳H و نیز توابع ۳D (باز کردن فایل) و ۴B (اجرای برنامه) از وقفهی ۲۱H را در اختیار میگیرد. به این ترتیب، اجازهٔ نوشتن بر روی سکتور ۱، ساید صفر، سیلندر صفر از دیسکسخت اول(Partition Table آلوده) با استفاده از تابع ۳ وقفهی ۱۳H را نمیدهد. ضمنا" هنگام خواندن سکتور فوق با استفاده از تابع ۲ وقفهی ۱۳H ، چنانچه تاریخ سیستم روز پنجم به بعد از ماههای ۱۱ و ۱۲ (نوامبر و دسامبر) سالهای ۱۹۹۸ به بعد باشد، بر روی سکتور مذکور نوشته شده و اطلاعات آن را کلا" تخریب کرده و سیستم را Reset میکند. با از بین رفتن اطلاعات تقسیمبندی دیسک سخت، دیگر درایوهای منطقی قابل دسترسی نخواهند بود.
این ویروس در دقایق فرد، اجازهٔ باز شدن فایلهای باپسوند BMP,PCX,GIF و JPG با استفاده از تابع ۳D وقفهی ۲۱H را نمیدهد. همچنین هنگام اجرای فایلهایی با نام SCAN یا FINDVIRU با استفاده از تابع ۴B وقفهی ۲۱H، پیغام زیر را نمایش داده و فایلهای مذکور را اجرا نمیکند:
This Program Is Too Big To Fit In Memory.
این ویروس هنگام اجرای فایلهای با پسوند com توسط تابع ۴B وقفهی ۲۱H، آنها را آلوده میکند. درون فایلهای آلوده به این ویروس، پیغام زیر را میتوان مشاهده کرد:
ـ A.Mortezania
این ویروس گونههای دیگری نیز دارد که توسط نرمافزار ایمن قابل شناسایی و پاکسازی میباشد.
کامپیوتر جوان
{wave}