گسترش ویروس مرگبار
به RootKit.T mpHider موجبات نگرانی جدی تحلیلگران امنیتی در کشور را
فراهم آورده است.
به گزارش عصر ارتباط، طی هفتههای اخیر اخبار
متعددی در فضای مجازی از سوی کاربران که مبنی بر افزایش خطاهایی مانند Error و حتی در برخی موارد ظاهرشدن صفحه آبی و خاموششدن ناگهانی دستگاهها
به گوش میرسید. گمانهزنیها ورود یک ویروس جدید به ایران که ظاهرا با هیچ یک از
آنتیویروسهای متعارف نیز قابل شناسایی نیست را افزایش داد؛ تمرکز این شکایتها
در وبلاگها و اجتماعات مجازی فارسیزبان نیز این احتمال را به وجود آورد که ویروس
یاد شده یا در ایران طراحیشده یا دستکم هنوز هیچ منبع جهانی موفق به شناسایی آن
نشده است.
هفته نامه عصر ارتباط
http://www.asreertebat.com
نشانههای عجیب
ردگیری مجموعه این اخبار پراکنده در نهایت نگاهها
را متــوجه انجمن ایـنتـــرنتی گریــنوی بـــا آدرس greenway.ir کرد
که در یکی از نوشتههای اخیر خود خبر از وجود یک فایل عجیب در فهرست فایلهای
سیستم داده و نوشته است: «طی روزهای اخیر گزارشهای زیادی از کار نکردن برنامهها
توسط تولیدکنندگان نرمافزار و همچنین کاربرها داشتیم. خطاهای اجرایی مانند Error یا عدم نمایش فیلم برنامهها از حدود یک ماه پیش افزایش یافته و
به نقطه بحرانی رسیده است. همچنین در این مدت توسط برخی از کاربران نیز مورد لطف
قرار گرفتهایم که نتیجه همه این مشکلات با بررسی دو سیستم که دارای رفتارهای عجیب
بودهاند وجود یک Rootkit جدید تشخیص داده شد. برای رفع مشکل در سیستمها
حتما توجه کنید که فایل MRxNet.sys از زیر فهرست system32drivers سیستم
شما حذف شود.
این انجمن فنی در نوشته یاد شده از ویژگیهای
منحصر به فرد این فایل رفتار این فایل ابراز شگفتی کرده و نوشته است: «این فایل
بسیار عجیب است، اولا روالهای این درایور به درستی نوشته نشده و در نتیجه اجازه
نصب درایور بعدی در زنجیره را نمیدهد. ثانیا فایلهای مشابه، دارای امضا نیستند
ولی این فایل دارای امضای دیجیتال است و ثالثا، با این که در قسمت مشخصات فایل،
نام مایکروسافت آورده شده، اما امضا کننده فایل Realtek است.
در پایان این نوشته وعده مکاتبه با شرکتهای
امنیتی متخصص در زمینه ویروسها داده شده تا منشا مشکل به طور قطع یافت و نمونه
فایل به بانک اطلاعاتی ویروسکشهای معروف اضافه شود. وعدهای که در نهایت ما را
به سایت ویروسکش تازهوارد VBA32 رساند.
ویروس پولساز
ویروسکش جوان و تقریبا گمنام VirusBlokAda که بیشتر با نام تجاری VBA32
شناخته شده اصالتا یک ویروسکش متعلق به بلاروس یا همان روسیه سفید است که در چند
سال اخیر اندک اندک جای پایی هم در بازار نرمافزاری ایران برای خود باز
کرده است.
سایت ایرانی این ویروسکش با آدرس vba32-ir.com اولین سایتی است که به خبر انتشار RootKit.T mpHider واکنش نشان داد. در بخش اخبار این سایت ویروس mpHider ویروس
خطرناک خوانده شده و آمده است: «این ویروس که از طریق حافظههای فلش منتشر شده و
روی سیستمهای کاربران ایرانی نیز دیده شده، به محض باز کردن حافظه فلش روی سیستم
مینشیند و یک فایل با پسوند SYS تولید و در پوشه System32\Drivers ویندوز کپی میکند.»
در این سایت ادعا شده mpHider برای
اولین بار توسط نرمافزارهای شرکت امنیتی VirusBlockAda کشف و ردیابی شده است و میتواند مشکلات
مهمی مانند ایجاد خطای Blue Page و Reset شدن سیستمها را روی کامپیوترهای آلوده شده به
وجود بیاورد. از کار انداختن قفلهای نرمافزاری روی دیسکهای نوری از دیگر اثرات
آلوده شدن سیستمهای کامپیوتری به این روتکیت هستند. در این صورت کاربرانی که از
این نرمافزارها استفاده میکنند یا تولیدکنندگانی که روی محصولات خود این نرمافزار
را استفاده کردهاند، دچار مشکل خواهند شد.
به گزارش این سایت این ویروس دارای امضای Realtek است.
در نتیجه در صورتی که این شرکت نتواند برای مقابله با آن اقدامی کند، از کار
افتادن سختافزارهای این شرکت روی سیستمها از دیگر عواقب انتشار و توزیع این
ویروس جدید خواهد بود.
RealTek همان
غول صنایع نیمههادی تایوانیهاست که کارتهای صدایش بسیار در ایران شناخته شده
هستند ولی محصولاتش طیف گستردهای از تلویزیونهای دیجیتالی تا تجهیزات شبکه را
شامل میشود.
ناگفته نماند VBA32 نهایت
استفاده را هم از این ویروس مرگبار و تازهوارد کرده و در همین سایت لینک شناسایی
و پاکسازی این ویروس هم ارایه شده است.
گسترش سریع
تماس با عباس گنجخانی که لابراتوارش در شرکت
بازیابی طلایی ژرف اولین گزارشها درباره این ویروس جدید را منتشر کرده، جزییات
بیشتری از ابعاد جدید این آلودگی را به دست میدهد.
مدیرعامل ژرف با اشاره به این که لزوما پاک کردن
فایل MRxNet.sys مشکلات کاربران با mpHider را حل نخواهد کرد، گفت: «این فایل RootKit فقط
ساخته میشود تا مانع دیدهشدن ویروس اصلی شود و استفاده از آنتی ویروس در چنین شرایطی
کاملا ضروری است. چون آنتیویروس علاوه بر حذف روتکیت یاد شده رجیستری را هم
اصلاح میکند که با توجه به تغییراتی که mpHider در قسمت SERVICES
رجیستری ویندوز انجام میدهد اصلاح این بخش هم ضروری است.»
او با اشاره به مکاتبات صورت گرفته میان VBA32 و Realtek گفت:
«بدون شک این ویروس خاص به ویژه با توجه به داشتن امضای شرکت RealTek در
لابراتوارهای ویروسشناسی سراسر جهان در حال بحث است ولی احتمال آن که این ویروس
در واقع بر اثر یک کارکرد نادرست یکی از راهاندازهای Realtek به
وجود آمده باشد بسیار اندک است. چون این تغییرات پس از فعال شدن ویروس اعمال میشود.»
به گفته گنجخانی تا کنون دستکم 30 درصد رایانههای
آمارگیری شده توسط لابراتوار شرکت ژرف دارای این ویروس بودهاند و با توجه به این
نکته که این ویروس از طریق حافظههای فلش منتقل میشود و استفاده از این حافظهها
در ایران بسیار رایج است احتمال گستردهتر شدن ابعاد آلودگی هم میرود.
او ضمن اشاره به این نکته که حتی نمونههایی از
این آلودگی در رایانهها و حتی سرورهای بانکهای معتبر کشور هم یافت شده است،
هشدار داد: «چون سرورها معمولا قابلیت اتصال به حافظههای فلش را ندارند وجود mpHider روی
این دستگاهها احتمال تکثیر آن از طریق شبکه را بالاتر برده است. در واقع خطر
واقعی هنگامی بروز میکند که مشخص بشود این ویروس یا نسخههای جدیدتر آن
علاوه بر حافظههای فلش امکان انتقال از طریق شبکه را هم دارد که در این صورت سرعت
گسترش و خسارات وارده توسط mpHider وارد فاز بسیار جدیتری خواهد شد.»