بدافزار فلیم
به گفته متخصصان،فلیم یکی از پیچیدهترین بدافزارهایی است که تا کنون ساخته شده و از قابلیت نفوذ در میان ایمنترین شبکهها نیز برخوردار است،سپس میتواند فعالیتهای روزانه رایانهها را کنترل کرده و اسرار آنها را به خالقان خود ارسال کند. این بدافزار میتواند میکروفنها و دوربینهای رایانهها را روشن کرده و حرکات ثبت شده بر روی صفحهکلید را ثبت کند،همچنین میتواند از صفحه نمایشگر عکس گرفته و اطلاعات منطقهای را از تصاویر استخراج کند و اطلاعات دستورهای دریافتی و ارسالی رااز طریق بلوتوث ارسال کند.
این بدافزار برای سالها با استفاده از برنامهای پیچیده که میتوانست به الگوریتمی رمزنویسیشده نفوذ کند، از ردیابی شدن در امان مانده بود. به گفته "تام پارکر" مسئول ارشد تکنولوژی شرکت FusionX،شرکتی که در شبیهسازی حملات سایبری تخصص دارد، ساخت چنین بدافزاری،کاری نیست که اکثر متخصصان امنیتی مهارت و توانایی انجام آن را داشته باشند. وی از اینکه چه کسی توانسته این بدافزار را بسازد اطلاعی ندارد اما در عین حال معتقد است باید انتظار داشت بزرگترین و حرفهای ترین ریاضیدانان رمزنگار مانند آنهایی که در آژانس امنیت ملی مشغول به کار هستند،چنین ابدافزاری را ساخته باشند.
بر اساس گفتههای مقامات آمریکایی،تلاش برای مختل کردن برنامههای اتمی ایران از سال 2005 و از زمان ریاست جمهوری جورج بوش آغاز شده است. در آن زمان،برنامه تنها گردآوری اطلاعات محرمانه برای شناسایی اهداف بالقوه و ایجاد ابزارهایی برای خرابکاری بود. این پروژه در سال 2008 عملیاتی شد و هدایت آن از ارتش به سازمان سیا منتقل شد.
وقایع اخیر باعث شد تا ایران از شرکت امنیتی روسی کسپرسکی برای شناسایی بدافزارها کمک بگیرد، کسپرسکی هفته گذشته اعلام کرد نتایج مطالعات آنها بر روی فلیم نشان میدهد این بدافزار توسط همان گروهی ساخته شده که استاکسنت را ساخته است. محققان این شرکت از یکسان بودن سازندگان این دو بدافزار 100درصد اطمینان دارند.
نشانههای
آلودگی سیستم به بدافزار
flame را بشناسید
وجود هریک از این نشانهها بیانگر آلودگی سیستم به بدافزار flame است:
|
ردیف |
نوع علائم |
آدرس |
|
1 |
وجود كلید رجیستری |
HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\Authentication Packages -> mssecmgr.ocx |
|
2 |
فایلهای اجرایی و تنظیمات آلودگی |
windows\system32\mssecmgr.ocx Windows\System32\ccalc32.sys Windows\System32\msglu32.ocx Windows\System32\boot32drv.sys Windows\System32\nteps32.ocx Windows\System32\advnetcfg.ocx Windows\System32\soapr32.ocx Windows\System32\to961.tmp Windows\ EF_trace.log |
خنثیسازی بدافزار Flame به دست طراحانش
طراحان بدافزار Flame که با حمله به رایانهها در چند کشور از جمله ایران به جمعآوری اطلاعات میپرداخت، با فرستادن دستور «خنثی سازی»، آن را از برخی کامپیوترهای آلوده پاک کردهاند.
شرکت امنیتی سیمانتک با طعمه قرار دادن بعضی از کامپیوترهای آلوده، موفق به تحت نظر گرفتن فعالیتهای این بدافزار و ردیابی فرمان خنثی سازی آن شده است.
کارشناسان میگویند بدافزار Flame آنقدر پیچیده و پیشرفته است که در بعضی از رایانههایی که به آن آلوده شده بود، رد فرمان فوری از طرف سازندگانش را یافتهاند که برای پاک کردن کامل بدافزار از روی کامپیوترها طراحی شده بود.
گفتنی است این دستور در عین پاک کردن بدافزار، جای آن را با اطلاعاتی پر کرده تا تحقیقات احتمالی را خنثی کند به گونهای که هیچ ردی از آلودگی باقی نماند.
به گفته کارشناسان Flame نخستین بدافزاری است که بر اساس یک تکنیک رمزگذاری غیر قابل تشخیص که نخستین بار در سال ۲۰۰۸ معرفی شده بود به جعل گواهینامههای دیجیتال و گسترش خود میپردازد.
فرمان خودکشی بدافزار Flame صادر شد
ایتنا - احتمالا انگیزه مهاجمان از حذف ویروس از سیستمهای آلوده، سعی در پنهان نگه داشتن زوایای ناشناخته عملکرد آن است تا پس از این عقبنشینی، درصدد حمله مجددی باشند. فرمان خودکشی بدافزار فلیم صادر شد مطابق گزارش شرکت امنیتی سیمانتک، طراحان بدافزار Flamer در روزهای اخیر از طریق تعدادی از Serverهای کنترل کننده این ویروس (C&C Servers) فرمانهای جدیدی را برای سیستمهای آلوده شده ارسال کردهاند. این فرمانها در واقع دستور خودکشی به بدافزار Flamer است و باعث میشود که این بدافزار خودش را از روی سیستمهای آلوده Uninstall کند! ویروس Flamer قابلیت ارتباط با تعداد زیادی Server کنترل کننده را دارا بوده است. پس از شناسایی ویروس، طراحان آن بسیاری از این Domainها و Serverها را غیرفعال کردهاند. اما تعداد اندکی از C&C Serverها همچنان برای برقراری ارتباط با بخش خاصی از سیستمهای آلوده فعال هستند تا مهاجمان اجازه داشته باشند C&C Serverهای جدید و ناشناختهای را برای پروژه خود تعریف کنند و به عملیات سایبری خود به روشهای دیگری ادامه دهند. سیستمهای آلوده شده طبق تنظیمات از قبل تعریف شدهای با C&C Serverها ارتباط برقرار میکنند تا فرمانهای جدید مهاجمان را دریافت کنند. پس از برقراری ارتباط، C&C Server یک فایل بانام browse32.ocx برای کامپیوتر قربانی ارسال میکند. این فایل شامل فرمانهای جدیدی است که ویروس باید آن را به اجرا درآورد. یکی از فرمانهایی که اخیرا ارسال شده است فرمان خودکشی ویروس(Uninstaller Command) است. ویروس برای خودکشی خود لیستی طولانی از فایلها و Folderهای مختلف را حذف میکند و سپس با استفاده از کاراکترهای تصادفی آنها را(OverWrite) رونویسی میکند تا فایلهای متعلق به ویروس به هیچ وجه و با هیچ ابزاری قابل بازیابی نباشند. لیست فایلها و Folderهایی که توسط ماژول خودکشی ویروس Flamer حذف میشوند به این شرح است:
Deleted files •%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\audcache •%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\audfilter.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\dstrlog.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\dstrlogh.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۳aaux.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۳afilter.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۳asound.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۴aaux.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۴afilter.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۴asound.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۵aaux.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۵afilter.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۵asound.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\mlcache.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\mpgaaux.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\mpgaud.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\qpgaaux.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\srcache.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\wavesup۳.drv •%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\wpgfilter.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\authcfg.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\ctrllist.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\lmcache.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\ntcache.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\posttab.bin •%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\secindex.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\tokencpt •%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\dmmsap.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\domm.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\domm۲.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\domm۳.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\dommt.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\dstrlog.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\dstrlogh.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\lmcache.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\Lncache.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\ltcache.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\mscorest.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\mscrol.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\mscrypt.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\mspovst.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\msrovst.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\msrsysv.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\msvolrst.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\nt۲cache.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\ntcache.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\rccache.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\rdcache.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\rmcache.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\ssitable •%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\syscache.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\syscache۳.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\audtable.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\fmpidx.bin •%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\lmcache.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\lrlogic •%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\mixercfg.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\mixerdef.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\ntcache.dat •%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\sndmix.drv •%SystemDrive%\system۳۲\msglu۳۲.ocx •%SystemDrive%\Temp\~۸C۵FF۶C.tmp •%Temp%\~* •%Temp%\~a۲۸.tmp •%Temp%\~a۳۸.tmp •%Temp%\~DF۰۵AC۸.tmp •%Temp%\~DFD۸۵D۳.tmp •%Temp%\~DFL۵۴۲.tmp •%Temp%\~DFL۵۴۳.tmp •%Temp%\~DFL۵۴۴.tmp •%Temp%\~DFL۵۴۵.tmp •%Temp%\~DFL۵۴۶.tmp •%Temp%\~dra۵۱.tmp •%Temp%\~dra۵۲.tmp •%Temp%\~dra۵۳.tmp •%Temp%\~dra۶۱.tmp •%Temp%\~dra۷۳.tmp •%Temp%\~fghz.tmp •%Temp%\~HLV۰۸۴.tmp •%Temp%\~HLV۲۹۴.tmp •%Temp%\~HLV۴۷۳.tmp •%Temp%\~HLV۷۵۱.tmp •%Temp%\~HLV۹۲۷.tmp •%Temp%\~KWI۹۸۸.tmp •%Temp%\~KWI۹۸۹.tmp •%Temp%\~mso۲a۰.tmp •%Temp%\~mso۲a۱.tmp •%Temp%\~mso۲a۲.tmp •%Temp%\~rei۵۲۴.tmp •%Temp%\~rei۵۲۵.tmp •%Temp%\~rf۲۸۸.tmp •%Temp%\~rft۳۷۴.tmp •%Temp%\~TFL۸۴۸.tmp •%Temp%\~TFL۸۴۹.tmp •%Temp%\~ZFF۰۴۲.tmp •%Temp%\comspol۳۲.ocx •%Temp%\GRb۹M۲.bat •%Temp%\indsvc۳۲.ocx •%Temp%\scaud۳۲.exe •%Temp%\scsec۳۲.exe •%Temp%\sdclt۳۲.exe •%Temp%\sstab.dat •%Temp%\sstab۱۵.dat •%Temp%\winrt۳۲.dll •%Temp%\winrt۳۲.ocx •%Temp%\wpab۳۲.bat •%Temp%\wpab۳۲.bat •%Windir%\Ef_trace.log •%Windir%\Prefetch\Layout.ini •%Windir%\Prefetch\NTOSBOOT-B۰۰DFAAD.pf •%Windir%\repair\default •%Windir%\repair\sam •%Windir%\repair\security •%Windir%\repair\software •%Windir%\repair\system •%Windir%\system۳۲\advnetcfg.ocx •%Windir%\system۳۲\advpck.dat •%Windir%\system۳۲\aud* •%Windir%\system۳۲\authpack.ocx •%Windir%\system۳۲\boot۳۲drv.sys •%Windir%\system۳۲\ccalc۳۲.sys •%Windir%\system۳۲\commgr۳۲.dll •%Windir%\system۳۲\comspol۳۲.dll •%Windir%\system۳۲\comspol۳۲.ocx •%Windir%\system۳۲\config\default.sav •%Windir%\system۳۲\config\sam.sav •%Windir%\system۳۲\config\security.sav •%Windir%\system۳۲\config\software.sav •%Windir%\system۳۲\config\system.sav •%Windir%\system۳۲\config\userdiff.sav •%Windir%\system۳۲\ctrllist.dat •%Windir%\system۳۲\indsvc۳۲.dll •%Windir%\system۳۲\indsvc۳۲.ocx •%Windir%\system۳۲\lrl* •%Windir%\system۳۲\modevga.com •%Windir%\system۳۲\mssecmgr.ocx •%Windir%\system۳۲\mssui.drv •%Windir%\system۳۲\mssvc۳۲.ocx •%Windir%\system۳۲\ntaps.dat •%Windir%\system۳۲\nteps۳۲.ocx •%Windir%\system۳۲\pcldrvx.ocx •%Windir%\system۳۲\rpcnc.dat •%Windir%\system۳۲\scaud۳۲.exe •%Windir%\system۳۲\sdclt۳۲.exe •%Windir%\system۳۲\soapr۳۲.ocx •%Windir%\system۳۲\ssi* •%Windir%\system۳۲\sstab.dat •%Windir%\system۳۲\sstab۰.dat •%Windir%\system۳۲\sstab۱.dat •%Windir%\system۳۲\sstab۱۰.dat •%Windir%\system۳۲\sstab۱۱.dat •%Windir%\system۳۲\sstab۱۲.dat •%Windir%\system۳۲\sstab۲.dat •%Windir%\system۳۲\sstab۳.dat •%Windir%\system۳۲\sstab۴.dat •%Windir%\system۳۲\sstab۵.dat •%Windir%\system۳۲\sstab۶.dat •%Windir%\system۳۲\sstab۷.dat •%Windir%\system۳۲\sstab۸.dat •%Windir%\system۳۲\sstab۹.dat •%Windir%\system۳۲\tok* •%Windir%\system۳۲\watchxb.sys •%Windir%\system۳۲\winconf۳۲.ocx Deleted folders •%ProgramFiles%\Common Files\Microsoft Shared\MSAudio •%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl •%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr •%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix
تمام سیستمهای آلودهای که فرمان خودکشی را دریافت کردهاند ویروس Flamer از روی آنها بطور کامل حذف شده است و دیگر هیچ اثری از آن دیده نمیشود. همانگونه که پیشتر گفته شد ویروس Flamer دارای ساختاری ماژولار است. در تحلیلهای گذشته مشخص شده بود که یک ماژول بنام SUICIDE (که بسیار شبیه Browse32.ocx است) در بدافزار استفاده شده است که کار آن خودکشی ویروس بوده است. اما در ارسال فرمان خودکشی اخیر مهاجمان از آن استفاده نکردهاند. هنوز انگیزه مهاجمان از عدم استفاده از این ماژول آماده، مشخص نیست. به نظر میرسد انگیزه اصلی مهاجمان از حذف ویروس از سیستمهای آلوده، سعی در پنهان نگه داشتن زوایای ناشناخته عملکرد این ویروس بوده است و دور از ذهن نیست که مهاجمان پس از این عقبنشینی، درصدد حمله مجددی باشند.
من مهدی غلامی میاندهی کارشناس نرم افزار کامپیوتر و دانشجوی کارشناسی ارشد هستم . امیدوارم لحظات خوبی را در این وبلاگ داشته باشید.