hello
Mr band may u send me it's source ?
hello
Mr band may u send me it's source ?
دکتر اسمیت قبلا گذاشتن شما لطفا سرچ کنیدنوشته شده توسط alamafruz [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
ابزار اختصاصی حذف کرم استاکسنت از کمپانی تولید کننده ی Bit defender :
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
Take Care
Last edited by A M ! N; 02-05-2012 at 14:42.
بالاخره الان این افتخار رو دارم که از دوکو یا همون کرم بحث برانگیز پس از استاکسنت بگم براتون. شرمنده مجبورم لفظی صحبت کنم دیگه
دوکو کرمی است که مراکز و موسسات خاصی را در اروپا ، آفریقا و بخشهایی از خاور میانه را مورد هدف قرار میدهد. از تاریخ تقریبا دی ماه سال گذشته ( 1389 ) شروع به فعالیت کرد.
این کرم شباهت های عجیبی نسبت به کرم سابق استاکسنت دارد به طوری که تشخیص داده شده که در بعضی قسمتهای این کرم به صورت خط به خط با استاکسنت مطابقت دارد ، لذا لقبهای استاکسنت دوم و نیز پسر استاکسنت نیز بدین لقب داده شده است. از هدفهای این کرم جمع آوری اطلاعات از روی کامپوتر شخص قربانی میباشد و گفته شده تاحالا عمل تخریب کننده ای نداشته است.
این کرم در حین عمل آلوده سازی فایلهایی با پسوند DQ روی سیستم ایجاد میکند! طریقه ی کار بدین شکل هست که پس از آلوده کردن سیستم کرم با سرور اصلی خود که گفته شده در کشور هند هستش ، ارتباط برقرار میکند و سایر دستورها و برنامه های مخرب دیگر را دریافت میکند و برروی کامپیوترهای قربانی به اجرا در میاورد. ( شایان ذکر است که الان ارتباط بین دوکو و سرور آن قطع شده است ). همچنین اگه کامپیوتر مورد نظر به یک شبکه متصل باشد ، این کرم دوکو تمامی بخشهای شبکه را بررسی میکند و نقاط ضعف احتمالی تشخیص داده شده و سپس به مرکز اصلی جهت مطلع کردن ارسال میشود. این ویروس را با مرکز سرور اصلی خودش میتوان به عنوان دایرة المعارف محسوب کرد چرا ؟
چون ساختار اصلی خود دوکو هیچ عامل تخریبگری ندارد یا امکاناتی براش درنظر گرفته نشده است، ولی در هر آن میتواند از طریق ارتباط برقرار کردن با سرور و دریافت دستورات لازم ، تمامی قابلیتهایی که یک مخرب برای خطرناک شدن نیاز دارد را بدست آورد.
البته اهداف خاص این کرم مشخص نیست اما گفته میشود در پی زمینه سازی و طراحی یک حمله ی بزرگ هستش.
این که هدف و قربانیان اصلی این کرم چه کسانی میتونن باشن ، کمی با اختلاف نظر همراه هست ، عده ای از متخصصین نظرشان این است که این کرم برای حمله ی به مراکز صدور گواهینامه ی دیجیتالی ( Certificate authority ) طراحی شده و عده ای هم سخت بر اینند که سیستم های مدیریت صنعتی خاصی هدف این کرم دوکو هستند.
بحثی هم درخصوص این هست که آیا نویسندگان اصلی این کرم چه کسانی هستند.. با عنایت به اینکه شباهت بسیار بسیار زیادی بین معماری برنامه نویسی کرم های استاکسنت و دوکو وجود دارد ، حدس میزنیم که همان تشکیلات و یا سازمانهایی که مسئول توزیع و پخش کرم استاکسنت بودند دست به اینکار رقت انگیز زده اند. اتفاق نظر بسیاری از کارشناسان برسر سایه ی پشت پرده ی آمریکا و اسراییل برای انتشار استاکسنت متمرکز میباشد.
البته این همه ی ماجراهای شباهت به این شکل تمام نمیشود ، از سوی دیگر عده ی کثیری هم هستند که شباهت بین این دو را امر چندان مهمی نمیدانند و اذعان دارند کپی برداری از روی ویروسهای قبلی را امری عادی و رایج میدانند. اما اگر خاطرتان رسانه ای شدن کرم استاکسنت باشد با آن حجم وسیع ، باید با یقین گفت که این اقدام ناشیانه ای میباشد اگر نویسندگان از کرم های قبلی برای ساخت این کرم جدید استفاده کرده اند ، که البته از پلیدی آمریکا و اسراییل به دور است. اگر به این کرم آلوده شدین چطور باید این موضوع را بفهمید ؟
البته در حال حاضر اکثر آنتی ویروسها به این کرم مسلط هستند ، ولی به عنوان مثال اگر مکافی را با دیتابیس 6501 DAT داشته یا جدیدتر داشته باشین ، قادر به شناسایی این کرم هستید.. البته شک نکنین که توزیعهای جهش یافته و غنی سازی شده ی این کرم در آینده گسترش خواهند یافت.. پس انتظار میرود شما همیشه ضدویروس خود رو بروز رسانی کنید.
از زمانی که ارتباط این کرم با سرور هند قطع شده دیگر هیچ فعالیت چشمگیر یا جالب توجهی از دوکو دیده نشده.. اما چه بسی سروری که هند بود و ارتباطش مختل شد فقط یکی از ده ها سرور فرماندهی این کرم بوده باشد و درحال حاضر کسی مطلع نباشد خصوصا درحالتی که هنوز ساختار این کرم واکاوی نشده است نمیتوان سرورهای آن را نیز ردیابی نمود..
کارشناسانی هستند که میگویند فقط شباهت بین استاکسنت و دوکو هست که باعث مطرح شدن دوکو در عرصه ی جهانی شده گرنه ویروسهای بسیار زیادی هم گام استاکسنت هستند که هرروزه ظاهر میشوند اما معمولا ناشناخته باقی میمانند.
شک و شبهه ی کارشناسان به دلیل عدم داشتن اطلاعات کافی درمورد این کرم هستش اما تابحال فقط شرکت سایمنتک یک گزارش تخصصی درمورد این کرم منتشر کرده است که نشان میدهد هدف این کرم سیستمهای مدیریتی مراکز مدنظرش میباشد.
به عقیده ی کارشناسان سایمنتک نویسندگان دوکو همان نویسندگان استاکسنت هستند..در طی این گزارشات آمده است که دوکو فقط وظیفه ی گردآوری اطلاعات از سیستم های مدیریتی صنعتی را دارد و طبق پیش بینی آنها پس از جمع آوری اطلاعات از ویروس جدیدی برای حمله و رخنه ی به شبکه استفاده میشود.
شرکت سایمنتک اطلاعات دقیقی را رسانه ای نکرده اعم از اینکه چه مراکزی دقیقا تابحال به این کرم آلوده شده اند حتی گفتنی است سایمنتک ادعای قبلی خود که گفته بود چندین واحد صنعتی در اروپا آلوده به این کرم شده اند رو پس گرفته و تصحیح کرده که فقط یک مرکز صنعتی به این کرم آلوده شده است.
به راستی که اگر موضوع تشابهات این دو نبود ، DUQU این قدر مورد توجه جامعه ی امنیتی قرار نمیگرفت. هرطور که باشد برای طراحی این کرم بالاخره یک نفر به فکر شبیه سازی از روی استاکسنت افتاده است.
همچنین باید توجه کرد که اگر هدف DUQO جمع آوری اطلاعات است پس به احتمال زیاد استاکسنت باید اینکار را قبلا انجام داده باشد، تازه اگر هم قرار است اطلاعات جدیدی به دست آورد استفاده علنی و دوباره از ویروس استاکسنت یک اقدام ناشیانه است که از سمت افراد و مراکزی که پشت اینگونه فعالیتهای جاسوسی هستند بعید به نظر میرسد.
لذا اگر در آینده و بررسی ها و آنالیزهای بعدی تشخیص داده شود که این کرم اهداف دیگری یا بزرگتری را دنبال میکند شاید آن زمان ارزش توجه و بررسیهای مهمتری رو پیدا نماید و درغیر این صورت و باقی ماندن در حالت فعلی میتوان گفت که DUQO هم ویروسی هست به مانند هزاران نوع معمولی و روزمره ی دیگر که ظاهر و کشف میشوند.
شاید شباهتهایی میان آن دو باشد ولی دلیل و مدرک قاطعی دال بر ارتباط مستقیم میان آنها وجود ندارد البته هنوز. جالب اینجاست که تمومی این بحثهای از زمانی آغاز شد که شرکت کوچک امنیتی در مجارستان ادعای کشف دوکو را کرد و همچنین مشاهدات خود رو در مورد DUQO و Stuxnet به ثبت رسانید.
طبق تایید سایمنتک ، کرم DUQO سیستم های مدیریتی صنعتی را هدف قرار نداده و به آنها حمله نمیکند. بلکه فقط به جمع آوری اطلاعات از شرکتهای سازنده ی این سیستمهای مدیریت صنعتی دست میزند. هدف از جمع آوری این اطلاعات هم احتمالا ساخت یک ویروس حاوی اطلاعات در مورد نقاط ضعف این سیستم هاست.
هردو ویروس از یک روش یکسانی برای رمز گشایی فایلهایی خاص و قراردادن آنها بروی کامپیوتر قربانی استفاده میکنن ، همچنین روش رمز گذاری و مخفی سازی فایلهای مرتبط با ویروس ، در هردو یکسان میباشد.. با اینحال استفاده از یک برنامه ی مخفی سازی یکسان لزوما به معنی ارتباط این دو نمیباشد ، این طور موارد برنامه ی مخفی ساز که اصطلاحا Rootkit نامیده میشوند امروزه در ویروسهای زیادی به نیت مخفی سازی به کار برده میشوند... این برنامه و روشهای مخفی سازی که در مخربهای DUQU و Stuxnet به کار برده شده است ، سابقا در ویروسهای Black Energy و Rustock نیز مشاهده شده است.
همچنین جالب است که هردو برنامه ی مخرب از یک گواهینامه ی دیجیتال سرقت شده استفاده کرده اند.
Stuxnet برای عملیات حمله و رخنه در سیستم قربانی از چهار نقطه ی ضعف اصلی استفاده میکرد ، DUQO از هیچ نقطه ی ضعفی استفاده نمیکند پس با این حساب میتوان فهمید که انتشار و گستردگی آن از اولویتهای نویسندگان این ویروس نبوده است.
شاید تا چندسال گذشته میشد به دوکو به چشم یک ویروس قدرتمند نگاه کرد اما الان ویروسهای هوشمند و پیچیده کم نیستند و نباید تا این قدر چشم به DUQO دوخت.
**نخستین تیم امنیتی که DUQO را تشخیص داد شرکت کاسپر اسکای روسیه بود ، اما نظر کاسپر اسکای درمورد هدف DUQO :
جمع آوری اطلاعات از صنایع و نهادهای سیاسی است، کاسپر اسکای این کرم رو با نام DuQu نشان داد.
کارشناسان کاسپر اسکای نیز اذعان کردند که دوکو به صورت تخریبی عمل نمیکند و هدف آن گردآوری اطلاعات میباشد، DUQO حاوی کدی برای سیستمهای صنعتی نمیباشد و خود به خود نیز تکثیر نمیشود، نوشتن چنین کرمی نیازمند علم و بودجه ی فروان هست.
دوکو بعد از ورود به سیستم یا حالا کامپیوتر برنامه ی امنیتی کامپیوتر رو به نحوی Modify میکند که دیگر کامپیوتر قادر به شناسایی
DUQO نباشد! و به این ترتیب به خوبی خوب در خفا به فعالیت خود ادامه میدهد..
پس باید گفت این کرم برای ربودن اطلاعات از شرکتها و یا نهادهای سیاسی طراحی شده است و بسیار پیچیده تر از استاکسنت عمل میکند..
نقشه ی پراکندگی >>>>
طبق گفته ی سایمنتک اولین بار دوکو در سیستمهای کامپیوتری اروپا مشاهده شده است که واریانتهایی مشابه به استاکسنت معروف را دارا میباشد..
برخلاف استاکسنت که سیستمهای خاص " اسکادا " ی شرکت زیمنس رو هدف قرار میداد و در واقع هدفش ایجاد اختلال در برنامه ی .... ایران بود ، این بدافزار جدید یک Backdoor روی سیستم نصب کرده و به جمع آوری اطلاعات میپردازد ازین طریق، که این اطلاعات در حملات بعدی مورد استفاده ی موثری قرار میگیرد.
این بدافزار صرفا روی سیستمهای تحت داس اجرا میشود مث ویندوز. متخصصان این کرم رو به دلیل ایجاد فایلهایی با پسوند DQ به آن لقب DUQU رو داده اند . همچنین این مخرب یک دسترسی از راه دور رو برای سرور ایجاد میکند. حاوی keyLogger هم گویا میباشد برای سرقت بردن اطلاعاتی که از طریق کلیدهای فشرده شده ی کیبوردی به دست میایند.
البته تنها روشهای آلوده سازی این کرم از طریق فلشهای مرسوم امروزی نیست ، همچنین طبق گفته ی سایمنتک ممکن است از طریق روشهای مهندسی اجتماعی صورت پذیرد به عنوان مثال باز کردن یک ایمیل که ضمیمه ی آلوده ای رو به همراه خودش دارد.
نکته ی جالب اینجاست که تابحال دو نوع مختلف از دوکو یافت شده است ، یکی از آنها از گواهی دیجیتال یک شرکت تایوانی استفاده میکند مانند استاکسنت که از گواهینامه ی Realtek استفاده میکرد.
دوکو همچنین از یک سرور دستوری کنترلی برای آپلود و یا دریافت اطلاعات موردنظرش ( که چیزی مانند مثلا فایلهای JPG میباشد ) استفاده میکند.. شایان ذکر است این اطلاعات به حالت رمزنگاری شده ارسال و دریافت میشوند و گفته شده که دوکو به طور اتوماتیک بعد از گذشت زمان 36 روز خود رو از روی سیستم پاک میکند ! گویا دیگر نیازی به آنتی ویروس ندارین و باید فقط 36 روز صبر داشته باشین
شرکت مکافی هم که نظرش در مورد هدف دوکو ، جاسوسی و انجام عملیات هدفمند به سایتهای ارائه دهنده ی گواهی نامه ی دیجیتال هستش.
شباهتهای دوکو و استاکسنت رو میتوانین در جدول پایین ملاحظه کنین :
تا اینجا مطلب رو داشته باشین تا بحثای فنی نفوذ و رخنه رو براتون در سری بعد گرد آوری و ترجمه کنم بچه ها..
امیــــــــــــــــــــــ ین
Last edited by A M ! N; 31-01-2012 at 15:09.
دستت درد نکنه...
مطالبت خیلی مفید بودن...
Last edited by pro_translator; 31-01-2012 at 17:01.
خیلی ممنون که مقاله رو آماده کردی. فقط چند تا سوال :
1- مگه نمی گن که کدهای این دو تا کرم رو نتونستند باز کنن پس از کجا میگن که بعضی جاهاش خط به خط عین همن ؟
2- گفتی که استاکس نت از چهار نقطه ضعف اصلی ویندوز استفاده می کرده و دوکو از هیچ کدوم. در این مورد بیشتر توضیح بده.
3- xxxx که جلوی پارامتر valid digital signature on driver به چه معنی. معلوم نیست یا اینکه هر گواهی مربوط به کارتهای شبکه رو داره ؟
بازم ممنون
جل الخالق، عجبا! عجب کارایی میکنن این ویروس ها که ما خبر نداشتیم!نوشته شده توسط SURIV [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
سلام به همه ی دوستان
از کجا بفهمیم سیستممون آلوده شده یا نه؟
نوشته شده توسط ea2021 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
سلام.
فقط کافیه با آنتی ویروس نورتون√ یک اسکن انجام بدین.
سلام دکی. دکی می گم این کرم جدیده چه خبر ازش؟ اطلاعات نمی ذاری ؟ همون شرکت نفتیه.
هم اکنون 1 کاربر در حال مشاهده این تاپیک میباشد. (0 کاربر عضو شده و 1 مهمان)