ویروس KillMBR-FBIA

چيست

در تاریخ 20 اسفند سال 1391 یک حمله ی اینترنتی گسترده باعث از کار افتادن و خاموشی تعداد زیادی رایانه در دو بانک کره ای و چند شرکت دیگر شد. بدافزار اینترنتی که موجب این حمله می شد، از چندین بخش تشکیل شده است که هرکدام از این بخش ها با نام های متفاوتی توسط ضدویروس McAfee شناسایی می شوند. فهرستی از این نام ها در بخش بعدی آمده است. نامی که در عنوان این هشدار ویروس آمده است مربوط به یکی از بخشهای اصلی این حمله است که کار آن ازبین بردن بخش راه انداز اصلی دیسک سخت یا MBR می باشد. گرچه این حمله در کشور کره مشاهده شده است اما با توجه به ساختار آن امکان انتشار آن در هر جای دیگر از دنیا وجود دارد.

باتوجه به تعداد زیاد کدهای مورد استفاده در این حمله، ضدویروس مک آفی نامهای زیر را برای شناسایی و پاکسازی بخشهای مختلف آن استفاده می کند:

– KillMBR-FBIA
– Dropper-FDH
– Trojan-FBIB
– Dropper-FDJ
– Dropper-FDK
– Downloader-FJH

انتشار

حمله ی KillMBR-FBIA – Dropper-FDH از طریق اینترنت انجام می‌شود. در ابتدا بخش اولیه بدافزار در نقش یک Dropper وارد سیستم می شود تا کدهای اصلی ویروس را برروی آن نصب کند. (Dropper بخشی از ویروس است که خود حاوی آلودگی خاصی نیست اما وظیفه اش نصب کد آلوده برروی دستگاه قربانی می باشد) وارد شدن به دستگاه آلوده هم می تواند از طریق بازکردن فایلهای پیوست نامه های الکترونیکی که دستکاری شده اند، صورت گیرد. همچنین ممکن است فایل مزبور به عنوان نرم افزاری مفید در اختیار قربانی قرار گیرد. پس از این مرحله است که بخش اصلی بدافزار شروع به خرابکاری بر روی سیستم می‌نماید.

 

خرابكارى

در صورتی که سیستمی مورد حمله ی این بدافزار قرار گیرد، راه انداز اصلی سیستم (MBR – Master Boot Record) موجود بر روی دیسک سخت سیستم به طور کامل از بین می‌رود. بدافزار برای اینکار یکی از رشته های زیر را بر روی راه انداز اصلی سیستم رونویسی می‌کند:

– PRINCPES
– PR!NCPES
– HASTATI

تصویر زیر راه انداز اصلی سیستم را پس از آلودگی نشان می‌دهد:

KillMBR-FBIA-01

این حمله همچنین بخش هایی تصادفی از فایل سیستم را توسط همان رشته های ذکر شده در بالا رونویسی می‌کند و موجب غیرممکن شدن بازیابی فایل ها می‌شود. به این طریق حتی در صورتی که راه انداز اصلی سیستم (MBR) بازیابی شده و به حالت قبل از آلودگی برگردد فایل های سیستمی خراب شده اند و قابل بازگرداندن نیستند.

سپس سیستم آلوده از طریق دستور زیر راه اندازی مجدد می شود و این امر باعث می شود سیستم دیگر بالا نیامده و قادر به شروع نباشد چرا که راه انداز اصلی سیستم آلوده و خراب شده است:

– Shutdown.exe  -r -t 0

در صورت راه اندازی مجدد پیغام خطای زیر نمایش داده می‌شود:

KillMBR-FBIA-02

یکی از اقدامات بدافزار پیش از رونویسی بخش راه انداز دیسک سخت، توقف دو پروسه ی اصلی مربوط به دو ضدویروس کره ای به نام های Ahnlab  و Hauri از طریق دستورات زیر می باشد:

– taskkill /F /IM pasvc.exe
– taskkill /F /IM Clisvc.exe

بخش تخریبی بدافزار که وظیفه رونویسی MBR دیسک سخت را به عهده دارد در فایلی با نام AgentBase.exe در پوشه ی %Temp% در سیستم آلوده کپی و اجرا می‌شود.

از دیگر آسیب های این بدافزار قرار دادن یک اسکریپت مخرب با نام pr1.tmp در پوشه ی %Temp% است. این اسکریپت اقدام به خراب کردن پارتیشن های سه نوع سیستم عامل Unix که در زیر آمده اند، می‌نماید:

– Linux
– HP-UX
– SunOS

در شکل زیر بخشی از اسکریپت مربوطه نشان داده شده است:

KillMBR-FBIA-03

اسکریپت سیستم را به طور کامل بررسی کرده و سپس برای هریک از سه نوع سیستم عامل Unix ذکر شده دستورات خاصی را جهت رونویسی پارتیشن ها اجرا می‌کند. در صورتی که دستورات روی سیستم قابل اجرا نباشند، اسکریپت تلاش می‌کند پوشه های زیر را از روی سیستم حذف کند:

– /kernel/
– /usr/
– /etc/
– /home/

به طور کلی می توان گفت هدف اصلی این حمله تنها غیرقابل استفاده نمودن سیستم های قربانی می باشد و هیچ تغییری در تنظیمات محضرخانه ی سیستم ایجاد نمی‌شود.

 

پيشگيرى

به روز نگه داشتن ضدويروس، نصب آخرين اصلاحيه های سيستم عامل، پرهيز از بکارگيری رمزهای ضعيف، در کنـار آگـاه کـردن کـاربـران شبکه از خطـرات کليک بر روی لينک های ناآشنا، همگی با هم می توانند خطر آلوده شدن به اين ويروس و يا گونه های مشابه را به حداقل برساند.

ضدویروس مک آفی با فایلهای اطلاعاتی 7037 قادر به شناسایی و پاکسازی تمام بدافزارهای مورد استفاده در این حمله می باشد.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *