PDA

نسخه کامل مشاهده نسخه کامل : =====>> تاپیک اختصاصی کرم پیشرفته ی STUXNET فقط اینجا <<=====



A M ! N
26-11-2011, 15:22
درود:40:

دوستان شاید دلتون بخواد که درباره ی این کرم استاکسنت بدونین که من این تاپیک رو برای همین راه اندازی کردم..
ازین روز به بعد این تاپیک اختصاصی این کرم خواهد بود
اینجا قراره یک اطلاعاتی درموردش بدیم.
نحوه ی آلوده سازی..
این که اولین بار از کجا آمد
راه های انتقال کرم


یک خواهشی هم ازتون دارم این هست که این تاپیک کاملا علمی هست و جای بحثهای C یا 30 نیست و در هر صورت مورد دیده شده برخورد خواهد شد.

با سپاس...امین:40:

A M ! N
27-11-2011, 01:59
درود

یک جزئیات کوچکی رو اینجا میگم تا سر بحث رو باز کنه شما هم شریک بشین داخل بحث دوستای گلم

Stuxnet چیست ؟

نوعی کرم جدید مخصوص سیستم عامل ویندوز هست که در اولین جهش خود داخل USB فلش های مرسوم قرار میگیره،
و به محض اینکه داخل یک سازمان بزرگ قرار بگیره، درون Network و کامپیوتر های اون گسترش پیدا میکنه البته به شرطی که سیستم ها از Password protection خوبی بر خوردار نباشن.
این کرم به راحتی میتونه از طریق USB drive ها هرچیزی میخواد باشه مثل فلش یا دوربین یا موبایل و .... انتقال داده شه..
این کرم یک سیستم رو آلوده میکنه و به وسیله یک Rootkit خودش رو در عمیقترین قسمت های سیستم عامل مخفی نگه میداره که انگار هیچ خبری نیست و مدام چک میکنه که آیا کامپیوتر به یک Siemens Simatic Step7 وصل شده یا نه ( که البته این که گفتم مربوط به PLC هست که همون کنترل کننده های منطقی هستش که در الکترونیک بحث گسترده ای داره )

اگه یکم سر رشته از برق داشته باشین میفهمین که PLC از طریق کامپیوتر برنامه دهی میشه و از طریق برنامه ی معروف Step7 که حالا نکته ای که میخوام بگم اینه که این کرم دستورات ارسالی از کامپیوتر به PLC رو Modify میکنه ...وقتی که به PLC انتقال یافت دنبال یک سری فاکتور های خاص میگرده در PLC که نمیتونم به وضوح بگم متاسفانه...
اگر این فاکتور ها رو پیدا نکنه کاری انجام نمیده اصلا.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]


حالا سوال اینه که اگه استاکسنت این فاکتور های مورد نظر رو جایی پیدا کنه ، و در فضای مورد انتظارش قرار بگیره چکار میکنه؟

تنها چیزی که میشه گفت این هست که یک تغییر و تحول شدیدا پیچیده به سیستم میده که پیشبینی شده دیگه باید سیستم رو کنار گزاشت و سیستم جدید به کار گرفت. ولی هنوز دیده نشده که استاکسنت این فضای خاصی که دنبالشه جایی پیدا کرده باشه تا ضد اون عمل کنه

کارهایی که انجام میده روی یک کارخانه به عنوان مثال :

A)) میتونه موتور ها رو به کنترل خودش در بیاره
B)) نوار نقاله رو به خاص خودش تنظیم کنه
C)) پمپها ، رو درستکاری کنه و....
میتونه به راحتی یک کارخانه رو متوقف کنه و یا با متدهای خاصی نهایتا حتی میتونه تجهیزات رو منفجر کنه

سوال پیش میاد که چرا اینقدر این کرم پیچیده هست؟
این به خاطر این هست که از آسیب پزیریها نهایت استفاده رو میکنه و روی سیستم یا PLC درایورهای خودش رو بار میکنه
شاید بگین که چطور میتونه درایورهای خودش رو روی سیستم ( ویندوز ) بار کنه و استفاده کنه ، در حالتی که باید حاوی امضا یا همون Digital Sign باشه برای اجرا در ویندوز....

جواب هم اینه که درایور کرم استاکسنت با یک Certificate دزدیده شده از
Realtek Semiconductor Corp امضا شده بوده است.

البته این Certificate در 16 ژولیه 2010 توسط همون شرکت فسخ میشه و بی اعتبار...
تازه نکته ی جالبتر این هست که در روز 17 ژولیه( یک روز پس از فسخ ) دوباره یک Certificate دزدیده شده ی دیگه از JMicron Technology Corporation پیدا میشه!

نقاطی از ویندوز که کرم استاکسنت بیشتر اونا رو آسیب پذیر میبینه:

فایلهای لینک( یا همون فایلهای با پسوند LNK )
Print spooler
سرویس سرور
افزایش میزان خطر از طریق آرایش فایل کیبورد
افزایش میزان خطر از طریق task Scheduler

که از باگهای ماکروسافت بودن یا هستن
البته به جز دو گزینه ی آخرش بقیه توسط Microsoft تصحیح شده و Patch شدن مجدد

گفته میشه حتی برای آنالیز کردن این کرم با جزئیات هنوز هیچ گروهی موفق نشده ، چون این کرم دارای حجمی معادل تقریبا 2 مگ هست که برای یک کرم حجم بسیار زیادی هست.
این کرم از ژوئن 2009 تقریبا شروع به پخش شدن کرد اما جالبی اینجاست که در تاریخ ژوئن 2010 تازه کشف میشه!
که البته این کرم کار یک نفر یا یک گروه یا یک آکادمی نبوده، بلکه دست چندین ملیت مختلف پشت این بوده است

همچنین برنامه نویسان متوجه یک سری منابع مربوط به انجیل شدن در این کرم ، Myrtus داخل کدهای این کرم دیده شده ( که نام یک نوع گل تلفنی هست ) که کلی شک و شبه با خودش به همراه داره..
یک آبجکتی داخل این کرم پیدا شده وقتی که داشتن کامپایلش میکردن که به ما مسیری رو میگه که نویسنده ی ویروس Source code ها رو روی سیستم ذخیره میکرده..:
\myrtus\src\objfre_w2k_x86\i386\guava.pdb

این مسیر بالایی هستش ، البته احتمالا نویسنده ی ویروس نمیخواسته که کسی فکر کنه اسم کرم رو Myrtus گزاشته، ولی طبق سابقه ی ویروس نویسها گمان اینطوری بیشتر هست ، به عنوان مثال در عملیات حمله aurora به گوگل این کرم aurora نام گرفت به خاطر مسیری که داخل یکی از باینری ها بوده :
\Aurora_Src\AuroraVNC\Avc\Release\AVC.pdb

بگزریم حالا نمیشه به طور قطع گفت که Myrtus یک منبع مربوط به انجیل هستش ولی میشه تصور کرد که ممکنه یک معنی کاملا جدا رو بخواد برسونه:
مثلا :
My RTUs به جای اینکه بگیم Myrtus !!

که البته RTU مخفف Remote Terminal Unit هستش که برای سیستم های کارخانه ای استفاده میشه، که خیلی عجیبه باز ولی نمیشه بگی حتما منظور نویسنده ی کرم همین بوده.
نکته ی جالب دیگه این هست که استاکسنت هر سیستمی رو که آلوده میکنه مارک میکنه که بدونه آلوده شده قبلا !!!
توسط ساختن یک کلید رجیستری به نام 19790509 در ثبات سیستم...حالا جالبتر از همه هم اینکه چرا این اسم رو ثبت میکنه؟
جواب : اگه خوب دقت کنین و اعداد رو تفکیک کنین این یک تاریخ دقیق هستش:
9th of May, 1979 هست یا نهم ماه مه از سال 1979

حالا این که این روز چه مناسبتی بوده هم گفته میشه شاید مثلا تاریخ تولد نویسنده ی کرم باشه..
و همچنین در همچین روزی یک تاجر یهودی ایرانی به نام حبیب الخانیان اعدام میشه داخل این کشور..که متهم به Spying for israiel بوده

شبهاتی هست که میگه استاکسنت یک رابطه ای با کرم دیگر به نام Conficker داره چون هردو از واریانت های مشابه استفاده کردن..
کانفیکر بین سالهای 2008 تا 2009 کشف شد ، که همینطور اولین واریانت های استاکسنت هم کمی بعد ازین کشف شدن
هر دو از آسیب پذیری MS08-067 استفاده میکنن، هر دو از USB کارشون رو شروع میکنن، از ضعفهای پسورد شبکه استفاده میکنن، و به یک اندازه هم پیچیده هستن

ربط های دیگه هم میشه به Zlob داد که اولین کرمی بود که از فایلهای لینکی (LNK که پسوندی برای شورتکات هست ) استفاده کرد

یک سوال مهم این هست که آیا اگه Autorun رو غیر فعال کنیم دیگه این کرم رو نمیگیرم ؟

جواب این هست که این کرم حسابش جداس با بقیه ، حتی اگه اتوران رو هم غیر فعال کنی باز کرم از واریانت های دیگه استفاده میکنه برای آلوده سازی ..مثلا همین آسیب پذیری فایلهای LNK شما رو به راحتی آلوده میکنه

آیا این کرم تا همیشه قصد داره پخش بشه؟
جواب این هست که این ویروس یک Kill date داره در کدهاش ! که گفته میشه قراره June 24, 2012 پخش شدنش به طور خودکار متوقف میشه!

این کرم تا حالا صد هزار سیستم رو آلوده کرده در سرتاسر جهان اما آماری که شرکت زیمنس داده ( شرکت ساخت کنترل کننده های منطقی و ...) میگه که تا حالا 15 تا کارخانه فقط آلوده به این کرم شدن

حالا میخوایم بدونیم در عمل چطور میشه این کرم پخش بشه از اولین نقطه؟

همون طور که اول هم گفتم نقطه ی اول وارد شدن به USB هست ، وقتی وارد شد نیاز داره که به سیستم وصل بشه
مثلا با وارد شدن دزدکی به خونه ی یکی از کارمندانی که در شرکت مورد نظر کارمیکنه و وارد کردن کرم به فلش درایوش همه ی اینها واقعی میشه
بعد هم که کارمند بیخبر میاد فلش رو به سیستم کارخانه وصل میکنه و بوووووووووم // بدون اینکه کاربر شستش خبر دار بشه کرم وارد سیتسم میشه
از دیگر کارهای این کرم این هست که دیگه به هر سیستمی در شبکه نفوذ میکنه و آلودش میکنه میخواد هدف باشه یا نه

ولی شک هم هست که مثلا حادثه ریختن نفت مکزیک مربوط به استاکسنت باشه چون کلی PLC استفاده میکردن داخل کارخان یشان


لینک دانلود برنامه ی سودمند استاکسنت :46:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
برای پسورد هم از 123 استفاده کنین
نوشته شده توسط امین
هرگونه کپی برداری با ذکر منبع ( P30world.com ) و نام نویسنده مجاز هست..:32:


Take Care:40:

Erfan.B
27-11-2011, 03:34
امین جان مبحث خوبی رو شروع کردی عزیز.
امیدوارم بحث رو همین طور ادامه بدی و دوستان دیگه هم مطلبی اگه می دونن تو تاپیک ارائه بدن تا تاپیک خوب و جامعی در این مورد داشته باشیم.

در ضمن امین جان برای شروع کار بد نیست لینک این تاپیک رو که گزیده هایی از اخبار استاکس نت بود رو به پستت اضافه کنی تا پستت کامل تر بشه :

حافظه‌هاي فلش در حال آلوده کردن رايانه‌هاي کل کشور هستند


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

موفق باشي :40:

M e i s a m
27-11-2011, 08:53
یعنی هیچ کدوم از انتی ویروس های معروف نمیتونن شناساییش کنن...؟
به نظر میاد خیلی خطری هم باشه

black.assassin
27-11-2011, 14:19
من که خونه کارخونه ندارم :دی پس اگر هم بیاد من با آغوش باز ازش استقبال می کنم.
چرا مباحث تخصصی مطرح می کنی ؟؟؟ من مخم هنگ کرده. فقط جاهای سیاسیشو فهمیدم :دی پاورقی بذار خب سوادمون در این حد نیست.
این 24 ژوئن 2012 چه خبره ؟؟؟ شفاف سازی کن مقاله رو :پی
ولی دستت درد نکنه. خیلی جالب بود. من هر جا در مورد این کرم دیدم حوصله نکردم بخونمش ولی این یکیو خوندم و به نظرم جالب اومد. :10: مخصوصا اون عکسه که فکر کردم در موردش توضیح دادی اما نداده بودی و منم هیچی ازش بارم نشد :دی

A M ! N
27-11-2011, 15:31
یعنی هیچ کدوم از انتی ویروس های معروف نمیتونن شناساییش کنن...؟
به نظر میاد خیلی خطری هم باشه
سلام

الان شناسایی این کرم برای همه برنامه ها ممکنه تقریبا،
داخل سایت آنالیزش کردم و تقریبا همه شناخته بودنش و مشکلی باهاش نیست
فقط اگه سیستمتون بهش آلوده بشه دیگه هیچ تضمینی نیست که بشه حتما Cure کرد سیستم رو
دیروز آویرا هم خودش رو و هم Rootkit همراهش رو شناسایی کرد.

Take Care:40:

MrGee
27-11-2011, 16:54
نه فكر كنم بشه بعد از آلوده شدن سيستم هم اون ويروس رو از بين برد كافيه با برنامه هايي مثل tdskiller روتكيت رو از بين برد باقي كار ديگه ساده اس البته اگر سيستم به صورت آفلاين اسكن بشه كه ديگه هيچ مشكلي نيست.

jams band
27-11-2011, 19:44
با تشکر از دکتر اسمیت دوست عزیز میخواستم بدونم این برنامه بدون ران کردن در داخل کامپیوتر (مثلا داخل یک برنامه کرک شده یا زیپ)کارش و شروع میکنه یا نه؟؟؟دارای ران اتومات که نیست؟؟

AlexanderMahone
27-11-2011, 21:11
یعنی هیچ کدوم از انتی ویروس های معروف نمیتونن شناساییش کنن...؟
به نظر میاد خیلی خطری هم باشه

اولین شرکت سایمنتک بود که دنبالش رو گرفت و دخلش رو اورد :

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
لینک بالا قبل از /2011 یه h اضافه کنید اخرین لینک رو میگم

A M ! N
27-11-2011, 21:50
با تشکر از دکتر اسمیت دوست عزیز میخواستم بدونم این برنامه بدون ران کردن در داخل کامپیوتر (مثلا داخل یک برنامه کرک شده یا زیپ)کارش و شروع میکنه یا نه؟؟؟دارای ران اتومات که نیست؟؟
سلام
007 جان البته من توضیحات رو دادم، ولی همون طور که گفتم این کرم دیگه بدون استفاده از اتوران هم اجرا میشه..
این کرم شامل 4 تا فایل آلوده لینکی هستش ( Copy of shortcut to.LNK ) و دوتا فایل هم به شکل Temporary file هستن ( در اصل اینطور نیست! )
یک Rootkit و یکی هم Malware هست که خود کرم هستش.

فقط کافیه که روی یک پوشه کلیک کنین که شامل فایلهای استاکسنت هست!

Take Care:40:

A M ! N
27-11-2011, 22:35
این کرم روی سیستمهای عادی کاری نمیکنه ،
ولی اگه تشخیص بده که به یک PLC متصل هست بیچارتون میکنه!
میتونه کلا PLC رو از کار بندازه که دیگه هیچ وقت نشه برنامه ریزیش کرد


ضمنا دوستان قرار هست از Duqu هم اینجا قرار بدم چون شباهت زیادی به استاکسنت داره براش تاپیک جدا نمیزنم ( البته فعلا که امتحان دارم هفته آینده حتما ردیف هست )


Take Care:40:

jams band
28-11-2011, 00:32
پس من که این فایل و به صورت زیپ کرک شده تو کاپیوترم دارم آلوده دشودم؟؟؟

A M ! N
28-11-2011, 14:39
پس من که این فایل و به صورت زیپ کرک شده تو کاپیوترم دارم آلوده دشودم؟؟؟
سلام
به صورت زیپ شده مشکلی نیست
Take Care:40:

SURIV
01-12-2011, 03:15
با سلام
تاپیک خیلی خوبیه
من فقط یه نکته راجع به اجرا شدن این کرم بدون آتوران بگم
تو 3 سال گذشته تنها ویروسی که سیستم من گرفته همین بوده و من تعجبم از چگونگی اجرای این کرم بدون آتوران بود چون آتوران سیستم من بلاکه
خیلی دنبال این قضیه گشتم آخر سر یه جا خوندم که میگفت این کرم از باگ آیکون کش explorer ویندوز استفاده کرده و هنگامی که با ویندوز اکسپلورر آیکون درایو رویت شود کرم اجرا خواهد شد
یعنی به محض اینکه پس از وصل کردن فلش my computer را باز کنید و آیکون فلش رو ببینید کرم رو سیستمتون اجرا شده
موفق باشین

A M ! N
01-12-2011, 11:48
با سلام
تاپیک خیلی خوبیه
من فقط یه نکته راجع به اجرا شدن این کرم بدون آتوران بگم
تو 3 سال گذشته تنها ویروسی که سیستم من گرفته همین بوده و من تعجبم از چگونگی اجرای این کرم بدون آتوران بود چون آتوران سیستم من بلاکه
خیلی دنبال این قضیه گشتم آخر سر یه جا خوندم که میگفت این کرم از باگ آیکون کش explorer ویندوز استفاده کرده و هنگامی که با ویندوز اکسپلورر آیکون درایو رویت شود کرم اجرا خواهد شد
یعنی به محض اینکه پس از وصل کردن فلش my computer را باز کنید و آیکون فلش رو ببینید کرم رو سیستمتون اجرا شده
موفق باشین
سلام Suriv جان مرسی نظر لطفته
دقیقا شما نکته رو گرفتی که به همین شکل هستش متاسفانه
حالا Duqu رو ببینی چی میگی؟
به زودی دربارش مینویسم هفته ی آینده

Take Care:40:

SURIV
01-12-2011, 13:27
سلام Suriv جان مرسی نظر لطفته
دقیقا شما نکته رو گرفتی که به همین شکل هستش متاسفانه
حالا Duqu رو ببینی چی میگی؟
به زودی دربارش مینویسم هفته ی آینده

Take Care:40:

من وقتی که درایورامو چک میکردم از وجود فایل mrxnet.sys متوجه وجود استاکس نت تو سیستمم شدم ولی
در مورد duqu اطلاعاتی ندارم شایدم سیستمم آلوده شده باشه اگه اطلاعاتش و تشخیص آلودگی سیستم رو بگی خیلی ممنون میشم.
ضمنا این نکته رو هم بگم که استفاده از باگ آیکون کش ویندوز طبق همون مقاله که خونده بودم خیلی سخته و نیازمند دانش بسیار بالای برنامه نویسی هست.

AlexanderMahone
01-12-2011, 13:48
من وقتی که درایورامو چک میکردم از وجود فایل mrxnet.sys متوجه وجود استاکس نت تو سیستمم شدم ولی
در مورد duqu اطلاعاتی ندارم شایدم سیستمم آلوده شده باشه اگه اطلاعاتش و تشخیص آلودگی سیستم رو بگی خیلی ممنون میشم.
ضمنا این نکته رو هم بگم که استفاده از باگ آیکون کش ویندوز طبق همون مقاله که خونده بودم خیلی سخته و نیازمند دانش بسیار بالای برنامه نویسی هست.

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

M e i s a m
01-12-2011, 21:03
سلام
007 جان البته من توضیحات رو دادم، ولی همون طور که گفتم این کرم دیگه بدون استفاده از اتوران هم اجرا میشه..
این کرم شامل 4 تا فایل آلوده لینکی هستش ( Copy of shortcut to.LNK ) و دوتا فایل هم به شکل Temporary file هستن ( در اصل اینطور نیست! )
یک Rootkit و یکی هم Malware هست که خود کرم هستش.

فقط کافیه که روی یک پوشه کلیک کنین که شامل فایلهای استاکسنت هست!

Take Care:40:

پس من استاکس داشتم و خودم بی خبر بودم :2:
البته خودم که نه سیستم یکی از اشنایان رو از 15ک ویروس خارج کردم :دی این وسط چون به سیستم خودم کول دیسک زدم سیستمم داغون شد... رو سیستمم فایروال و دیفنس و سندباکس و انتی ویروس داشتم ولی هیچ کدوم کار نکرده
بعدشم وین رو چکیدم چیزی یافت نشد
فقط نورتون مونده که با اون تا حالا تستی نداشتم اونم چون وی پی ان ترکیده نمیتونم برم از سایت نورتون دانلودش کنم :13:

AlexanderMahone
01-12-2011, 21:39
پس من استاکس داشتم و خودم بی خبر بودم :2:
البته خودم که نه سیستم یکی از اشنایان رو از 15ک ویروس خارج کردم :دی این وسط چون به سیستم خودم کول دیسک زدم سیستمم داغون شد... رو سیستمم فایروال و دیفنس و سندباکس و انتی ویروس داشتم ولی هیچ کدوم کار نکرده
بعدشم وین رو چکیدم چیزی یافت نشد
فقط نورتون مونده که با اون تا حالا تستی نداشتم اونم چون وی پی ان ترکیده نمیتونم برم از سایت نورتون دانلودش کنم :13:

نورتون به صورت 100% و بدون هیچ درد سری اون روریمو میکنه چون خود شرکت سایمنتک با جدیت پیگیری کرد و پاکش کرد.خودم تست کردم:11:

jams band
01-12-2011, 21:46
سلام
007 جان البته من توضیحات رو دادم، ولی همون طور که گفتم این کرم دیگه بدون استفاده از اتوران هم اجرا میشه..
این کرم شامل 4 تا فایل آلوده لینکی هستش ( Copy of shortcut to.LNK ) و دوتا فایل هم به شکل Temporary file هستن ( در اصل اینطور نیست! )
یک Rootkit و یکی هم Malware هست که خود کرم هستش.

فقط کافیه که روی یک پوشه کلیک کنین که شامل فایلهای استاکسنت هست!

Take Care:40:
ممنون مهندس

alamafruz
02-12-2011, 23:22
hello
Mr band may u send me it's source ?

jams band
04-12-2011, 00:44
hello

Mr band may u send me it's source ?




دکتر اسمیت قبلا گذاشتن شما لطفا سرچ کنید

A M ! N
10-01-2012, 21:25
ابزار اختصاصی حذف کرم استاکسنت از کمپانی تولید کننده ی Bit defender :


[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])

Take Care:40:

A M ! N
31-01-2012, 04:26
بالاخره الان این افتخار رو دارم که از دوکو یا همون کرم بحث برانگیز پس از استاکسنت بگم براتون. شرمنده مجبورم لفظی صحبت کنم دیگه :دی

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]


دوکو کرمی است که مراکز و موسسات خاصی را در اروپا ، آفریقا و بخشهایی از خاور میانه را مورد هدف قرار میدهد. از تاریخ تقریبا دی ماه سال گذشته ( 1389 ) شروع به فعالیت کرد.
این کرم شباهت های عجیبی نسبت به کرم سابق استاکسنت دارد به طوری که تشخیص داده شده که در بعضی قسمتهای این کرم به صورت خط به خط با استاکسنت مطابقت دارد ، لذا لقبهای استاکسنت دوم و نیز پسر استاکسنت نیز بدین لقب داده شده است. از هدفهای این کرم جمع آوری اطلاعات از روی کامپوتر شخص قربانی میباشد و گفته شده تاحالا عمل تخریب کننده ای نداشته است.

این کرم در حین عمل آلوده سازی فایلهایی با پسوند DQ روی سیستم ایجاد میکند! طریقه ی کار بدین شکل هست که پس از آلوده کردن سیستم کرم با سرور اصلی خود که گفته شده در کشور هند هستش ، ارتباط برقرار میکند و سایر دستورها و برنامه های مخرب دیگر را دریافت میکند و برروی کامپیوترهای قربانی به اجرا در میاورد. ( شایان ذکر است که الان ارتباط بین دوکو و سرور آن قطع شده است ). همچنین اگه کامپیوتر مورد نظر به یک شبکه متصل باشد ، این کرم دوکو تمامی بخشهای شبکه را بررسی میکند و نقاط ضعف احتمالی تشخیص داده شده و سپس به مرکز اصلی جهت مطلع کردن ارسال میشود. این ویروس را با مرکز سرور اصلی خودش میتوان به عنوان دایرة المعارف محسوب کرد چرا ؟

چون ساختار اصلی خود دوکو هیچ عامل تخریبگری ندارد یا امکاناتی براش درنظر گرفته نشده است، ولی در هر آن میتواند از طریق ارتباط برقرار کردن با سرور و دریافت دستورات لازم ، تمامی قابلیتهایی که یک مخرب برای خطرناک شدن نیاز دارد را بدست آورد.
البته اهداف خاص این کرم مشخص نیست اما گفته میشود در پی زمینه سازی و طراحی یک حمله ی بزرگ هستش.

این که هدف و قربانیان اصلی این کرم چه کسانی میتونن باشن ، کمی با اختلاف نظر همراه هست ، عده ای از متخصصین نظرشان این است که این کرم برای حمله ی به مراکز صدور گواهینامه ی دیجیتالی ( Certificate authority ) طراحی شده و عده ای هم سخت بر اینند که سیستم های مدیریت صنعتی خاصی هدف این کرم دوکو هستند.

بحثی هم درخصوص این هست که آیا نویسندگان اصلی این کرم چه کسانی هستند.. با عنایت به اینکه شباهت بسیار بسیار زیادی بین معماری برنامه نویسی کرم های استاکسنت و دوکو وجود دارد ، حدس میزنیم که همان تشکیلات و یا سازمانهایی که مسئول توزیع و پخش کرم استاکسنت بودند دست به اینکار رقت انگیز زده اند. اتفاق نظر بسیاری از کارشناسان برسر سایه ی پشت پرده ی آمریکا و اسراییل برای انتشار استاکسنت متمرکز میباشد.

البته این همه ی ماجراهای شباهت به این شکل تمام نمیشود ، از سوی دیگر عده ی کثیری هم هستند که شباهت بین این دو را امر چندان مهمی نمیدانند و اذعان دارند کپی برداری از روی ویروسهای قبلی را امری عادی و رایج میدانند. اما اگر خاطرتان رسانه ای شدن کرم استاکسنت باشد با آن حجم وسیع ، باید با یقین گفت که این اقدام ناشیانه ای میباشد اگر نویسندگان از کرم های قبلی برای ساخت این کرم جدید استفاده کرده اند ، که البته از پلیدی آمریکا و اسراییل به دور است. اگر به این کرم آلوده شدین چطور باید این موضوع را بفهمید ؟

البته در حال حاضر اکثر آنتی ویروسها به این کرم مسلط هستند ، ولی به عنوان مثال اگر مکافی را با دیتابیس 6501 DAT داشته یا جدیدتر داشته باشین ، قادر به شناسایی این کرم هستید.. البته شک نکنین که توزیعهای جهش یافته و غنی سازی شده ی این کرم در آینده گسترش خواهند یافت.. پس انتظار میرود شما همیشه ضدویروس خود رو بروز رسانی کنید.

از زمانی که ارتباط این کرم با سرور هند قطع شده دیگر هیچ فعالیت چشمگیر یا جالب توجهی از دوکو دیده نشده.. اما چه بسی سروری که هند بود و ارتباطش مختل شد فقط یکی از ده ها سرور فرماندهی این کرم بوده باشد و درحال حاضر کسی مطلع نباشد خصوصا درحالتی که هنوز ساختار این کرم واکاوی نشده است نمیتوان سرورهای آن را نیز ردیابی نمود..

کارشناسانی هستند که میگویند فقط شباهت بین استاکسنت و دوکو هست که باعث مطرح شدن دوکو در عرصه ی جهانی شده گرنه ویروسهای بسیار زیادی هم گام استاکسنت هستند که هرروزه ظاهر میشوند اما معمولا ناشناخته باقی میمانند.

شک و شبهه ی کارشناسان به دلیل عدم داشتن اطلاعات کافی درمورد این کرم هستش اما تابحال فقط شرکت سایمنتک یک گزارش تخصصی درمورد این کرم منتشر کرده است که نشان میدهد هدف این کرم سیستمهای مدیریتی مراکز مدنظرش میباشد.

به عقیده ی کارشناسان سایمنتک نویسندگان دوکو همان نویسندگان استاکسنت هستند..در طی این گزارشات آمده است که دوکو فقط وظیفه ی گردآوری اطلاعات از سیستم های مدیریتی صنعتی را دارد و طبق پیش بینی آنها پس از جمع آوری اطلاعات از ویروس جدیدی برای حمله و رخنه ی به شبکه استفاده میشود.

شرکت سایمنتک اطلاعات دقیقی را رسانه ای نکرده اعم از اینکه چه مراکزی دقیقا تابحال به این کرم آلوده شده اند حتی گفتنی است سایمنتک ادعای قبلی خود که گفته بود چندین واحد صنعتی در اروپا آلوده به این کرم شده اند رو پس گرفته و تصحیح کرده که فقط یک مرکز صنعتی به این کرم آلوده شده است.

به راستی که اگر موضوع تشابهات این دو نبود ، DUQU این قدر مورد توجه جامعه ی امنیتی قرار نمیگرفت. هرطور که باشد برای طراحی این کرم بالاخره یک نفر به فکر شبیه سازی از روی استاکسنت افتاده است.

همچنین باید توجه کرد که اگر هدف DUQO جمع آوری اطلاعات است پس به احتمال زیاد استاکسنت باید اینکار را قبلا انجام داده باشد، تازه اگر هم قرار است اطلاعات جدیدی به دست آورد استفاده علنی و دوباره از ویروس استاکسنت یک اقدام ناشیانه است که از سمت افراد و مراکزی که پشت اینگونه فعالیتهای جاسوسی هستند بعید به نظر میرسد.

لذا اگر در آینده و بررسی ها و آنالیزهای بعدی تشخیص داده شود که این کرم اهداف دیگری یا بزرگتری را دنبال میکند شاید آن زمان ارزش توجه و بررسیهای مهمتری رو پیدا نماید و درغیر این صورت و باقی ماندن در حالت فعلی میتوان گفت که DUQO هم ویروسی هست به مانند هزاران نوع معمولی و روزمره ی دیگر که ظاهر و کشف میشوند.

شاید شباهتهایی میان آن دو باشد ولی دلیل و مدرک قاطعی دال بر ارتباط مستقیم میان آنها وجود ندارد البته هنوز. جالب اینجاست که تمومی این بحثهای از زمانی آغاز شد که شرکت کوچک امنیتی در مجارستان ادعای کشف دوکو را کرد و همچنین مشاهدات خود رو در مورد DUQO و Stuxnet به ثبت رسانید.

طبق تایید سایمنتک ، کرم DUQO سیستم های مدیریتی صنعتی را هدف قرار نداده و به آنها حمله نمیکند. بلکه فقط به جمع آوری اطلاعات از شرکتهای سازنده ی این سیستمهای مدیریت صنعتی دست میزند. هدف از جمع آوری این اطلاعات هم احتمالا ساخت یک ویروس حاوی اطلاعات در مورد نقاط ضعف این سیستم هاست.


هردو ویروس از یک روش یکسانی برای رمز گشایی فایلهایی خاص و قراردادن آنها بروی کامپیوتر قربانی استفاده میکنن ، همچنین روش رمز گذاری و مخفی سازی فایلهای مرتبط با ویروس ، در هردو یکسان میباشد.. با اینحال استفاده از یک برنامه ی مخفی سازی یکسان لزوما به معنی ارتباط این دو نمیباشد ، این طور موارد برنامه ی مخفی ساز که اصطلاحا Rootkit نامیده میشوند امروزه در ویروسهای زیادی به نیت مخفی سازی به کار برده میشوند... این برنامه و روشهای مخفی سازی که در مخربهای DUQU و Stuxnet به کار برده شده است ، سابقا در ویروسهای Black Energy و Rustock نیز مشاهده شده است.

همچنین جالب است که هردو برنامه ی مخرب از یک گواهینامه ی دیجیتال سرقت شده استفاده کرده اند.

Stuxnet برای عملیات حمله و رخنه در سیستم قربانی از چهار نقطه ی ضعف اصلی استفاده میکرد ، DUQO از هیچ نقطه ی ضعفی استفاده نمیکند پس با این حساب میتوان فهمید که انتشار و گستردگی آن از اولویتهای نویسندگان این ویروس نبوده است.

شاید تا چندسال گذشته میشد به دوکو به چشم یک ویروس قدرتمند نگاه کرد اما الان ویروسهای هوشمند و پیچیده کم نیستند و نباید تا این قدر چشم به DUQO دوخت.

**نخستین تیم امنیتی که DUQO را تشخیص داد شرکت کاسپر اسکای روسیه بود ، اما نظر کاسپر اسکای درمورد هدف DUQO :

جمع آوری اطلاعات از صنایع و نهادهای سیاسی است، کاسپر اسکای این کرم رو با نام DuQu نشان داد.

کارشناسان کاسپر اسکای نیز اذعان کردند که دوکو به صورت تخریبی عمل نمیکند و هدف آن گردآوری اطلاعات میباشد، DUQO حاوی کدی برای سیستمهای صنعتی نمیباشد و خود به خود نیز تکثیر نمیشود، نوشتن چنین کرمی نیازمند علم و بودجه ی فروان هست.

دوکو بعد از ورود به سیستم یا حالا کامپیوتر برنامه ی امنیتی کامپیوتر رو به نحوی Modify میکند که دیگر کامپیوتر قادر به شناسایی

DUQO نباشد! و به این ترتیب به خوبی خوب در خفا به فعالیت خود ادامه میدهد..

پس باید گفت این کرم برای ربودن اطلاعات از شرکتها و یا نهادهای سیاسی طراحی شده است و بسیار پیچیده تر از استاکسنت عمل میکند..

نقشه ی پراکندگی >>>>


[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]



طبق گفته ی سایمنتک اولین بار دوکو در سیستمهای کامپیوتری اروپا مشاهده شده است که واریانتهایی مشابه به استاکسنت معروف را دارا میباشد..

برخلاف استاکسنت که سیستمهای خاص " اسکادا " ی شرکت زیمنس رو هدف قرار میداد و در واقع هدفش ایجاد اختلال در برنامه ی .... ایران بود ، این بدافزار جدید یک Backdoor روی سیستم نصب کرده و به جمع آوری اطلاعات میپردازد ازین طریق، که این اطلاعات در حملات بعدی مورد استفاده ی موثری قرار میگیرد.

این بدافزار صرفا روی سیستمهای تحت داس اجرا میشود مث ویندوز. متخصصان این کرم رو به دلیل ایجاد فایلهایی با پسوند DQ به آن لقب DUQU رو داده اند . همچنین این مخرب یک دسترسی از راه دور رو برای سرور ایجاد میکند. حاوی keyLogger هم گویا میباشد برای سرقت بردن اطلاعاتی که از طریق کلیدهای فشرده شده ی کیبوردی به دست میایند.

البته تنها روشهای آلوده سازی این کرم از طریق فلشهای مرسوم امروزی نیست ، همچنین طبق گفته ی سایمنتک ممکن است از طریق روشهای مهندسی اجتماعی صورت پذیرد به عنوان مثال باز کردن یک ایمیل که ضمیمه ی آلوده ای رو به همراه خودش دارد.

نکته ی جالب اینجاست که تابحال دو نوع مختلف از دوکو یافت شده است ، یکی از آنها از گواهی دیجیتال یک شرکت تایوانی استفاده میکند مانند استاکسنت که از گواهینامه ی Realtek استفاده میکرد.


دوکو همچنین از یک سرور دستوری کنترلی برای آپلود و یا دریافت اطلاعات موردنظرش ( که چیزی مانند مثلا فایلهای JPG میباشد ) استفاده میکند.. شایان ذکر است این اطلاعات به حالت رمزنگاری شده ارسال و دریافت میشوند و گفته شده که دوکو به طور اتوماتیک بعد از گذشت زمان 36 روز خود رو از روی سیستم پاک میکند ! گویا دیگر نیازی به آنتی ویروس ندارین و باید فقط 36 روز صبر داشته باشین:دی


شرکت مکافی هم که نظرش در مورد هدف دوکو ، جاسوسی و انجام عملیات هدفمند به سایتهای ارائه دهنده ی گواهی نامه ی دیجیتال هستش.



شباهتهای دوکو و استاکسنت رو میتوانین در جدول پایین ملاحظه کنین :



[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]







تا اینجا مطلب رو داشته باشین تا بحثای فنی نفوذ و رخنه رو براتون در سری بعد گرد آوری و ترجمه کنم بچه ها..


:11:



امیــــــــــــــــــــــ ین:40:

pro_translator
31-01-2012, 16:56
دستت درد نکنه... :11::11:
مطالبت خیلی مفید بودن...:10:

black.assassin
08-02-2012, 12:58
خیلی ممنون که مقاله رو آماده کردی. فقط چند تا سوال :
1- مگه نمی گن که کدهای این دو تا کرم رو نتونستند باز کنن پس از کجا میگن که بعضی جاهاش خط به خط عین همن ؟

2- گفتی که استاکس نت از چهار نقطه ضعف اصلی ویندوز استفاده می کرده و دوکو از هیچ کدوم. در این مورد بیشتر توضیح بده.

3- xxxx که جلوی پارامتر valid digital signature on driver به چه معنی. معلوم نیست یا اینکه هر گواهی مربوط به کارتهای شبکه رو داره ؟

بازم ممنون :10:

ea2021
03-07-2012, 10:58
با سلام
تاپیک خیلی خوبیه
من فقط یه نکته راجع به اجرا شدن این کرم بدون آتوران بگم
تو 3 سال گذشته تنها ویروسی که سیستم من گرفته همین بوده و من تعجبم از چگونگی اجرای این کرم بدون آتوران بود چون آتوران سیستم من بلاکه
خیلی دنبال این قضیه گشتم آخر سر یه جا خوندم که میگفت این کرم از باگ آیکون کش explorer ویندوز استفاده کرده و هنگامی که با ویندوز اکسپلورر آیکون درایو رویت شود کرم اجرا خواهد شد
یعنی به محض اینکه پس از وصل کردن فلش my computer را باز کنید و آیکون فلش رو ببینید کرم رو سیستمتون اجرا شده
موفق باشین

:18: :18: جل الخالق، عجبا! عجب کارایی میکنن این ویروس ها که ما خبر نداشتیم!

ea2021
03-07-2012, 11:08
سلام به همه ی دوستان
از کجا بفهمیم سیستممون آلوده شده یا نه؟

A M ! N
04-07-2012, 08:28
سلام به همه ی دوستان
از کجا بفهمیم سیستممون آلوده شده یا نه؟

سلام.

فقط کافیه با آنتی ویروس نورتون√ یک اسکن انجام بدین.

black.assassin
04-07-2012, 19:19
سلام دکی. دکی می گم این کرم جدیده چه خبر ازش؟ اطلاعات نمی ذاری ؟ همون شرکت نفتیه.