شرکت سیمانتک در خصوص بدافزار flame اطلاعاتی را به این شرح منتشر کرده است:.
این بدافزار که با نامهای W32.Flamer ویا Skywiper شناخته می شود ۲۰ برابر ویروس Stuxnet حجم دارد و مطالعات نشان میدهد که احتمالا در سال ۲۰۱۰ تولید شده است. تحلیل کدهای Flamer نشان میدهد که این بدافزار به طرز بسیار ماهرانهای تولید شده و کدهای به کار رفته در آن درظاهر شبیه کدهای معمولی نرم افزارهای دیگر است اما درحقیقت قابلیتهای هوشمندانه و مخرب و پنهانی در آن کدها قرار داده شده است.
پیچیدگی به کار رفته در کدهای مخرب این بدافزار باعث شده که به همراه ویروسهای Stuxnet و Duqu به عنوان پیچیدهترین ویروسهای شناخته شده تاکنون به شمار برود.
این بدافزار نیز همانند دو نمونه قبلی احتمالا نه توسط یک فرد بلکه توسط یک گروه با حمایت مالی قوی و برای اهداف خاصی ساخته شده است.
فایلهایی که توسط این ویروس برای حمله به کار گرفته میشوند مشابه فایلهایی است که در حملات سایبری اخیر به وزارت نفت ایران نقش داشتهاند.
تحلیل سیمانتک بر روی این بدافزار ادامه دارد اما نتایج بدست آمده نشان میدهد که هدف این ویروس جمعآوری اطلاعات و دادههاست. ردیابیهای اولیه نشان میدهد که انتشار این ویروس در شرق اروپا و خاورمیانه بوده است.
بر اساس بررسیهای سیمانتک ، اجزای بکار رفته در این ویروس که از این پس سیماتک آنرا با نام W۳۲.Flamer می شناسد حکایت از این دارد که اولین بار ویروس W۳۲.Flamer در سال ۲۰۱۰ بوجود آمده است. اجزای شناخته شده این ویروس عبارتند از:
• advnetcfg.ocx
• ccalc۳۲.sys
• mssecmgr.sys
• msglu۳۲.ocx
• boot۳۲drv.sys
• nteps۳۲.ocx
دو نسخه مختلف از فایل advnetcfg.ocx کشف شده است. نوع اول برمی گردد به سپتامبر ۲۰۱۰ و نوع دوم در فوریه ۲۰۱۱. فایل پیکربندی ccalc۳۲.sys نیز دارای دو نوع است که هر دو تقریبا در همان حاشیه زمانی فایل advnetcfg.ocx کشف شده است.
دامنه انتشار ویروس Flamer بر اساس ردیابیهای فعلی در شکل زیر آمده است:
بر اساس آمار تعداد کامپیوترهایی که مورد حمله ویروس Flamer قرار گرفته اند هدف اصلی این تهدید کشورهای فلسطین، مجارستان، ایران، و لبنان بوده است. با این حال، سیمانتک گزارشهایی از این حمله در کشورهای اتریش، روسیه، هنگ کنگ و امارات متحده عربی نیز دریافت کرده است که احتمال می رود موارد گزارش شده شامل Laptopهایی باشند که از کشورهای آلوده شده اصلی به این کشورها آورده شده اند.
نکته قابل توجه این است که علاوه بر شبکههای سازمانها و ارگانهای دولتی و صنعتی، سیستمهای کاربران خانگی نیز به ویروس Flamer آلوده شده است.
تحلیل فنی ویروس Flamer:
تعدادی از اجزای این تهدید کشف شده است و در حال حاضر در حال تجزیه و تحلیل بر روی آنها ادامه دارد. اجزای کشف شده این ویروس بگونه ای نوشته شده اند که در نگاه اول به نظر نمی رسد حاوی کدهای مخرب باشند. اما تحلیلهای دقیقتر نشان از مخرب بودن آنها دارد. کدهای این ویروس بسیار پیچیده است و همین امر مانع تجزیه و تحلیل آن می شود. از جمله قابلیتهای کلی شناخته شده این ویروس می توان به توانایی سرقت اسناد، گرفتن تصاویری از دسکتاپ کاربران و انتشار از طریق Cooldisk اشاره کرد. این بدافزار همچنین قادر است برخی از نرم افزارهای امنیتی نصب شده روی سیستم کاربر را غیرفعال کند.
همچنین این ویروس تحت شرایط خاصی می تواند از نقاط آسیب پذیری Windows استفاده کرده و خود را در سطح شبکه منتشر کند.
در شکل زیر اجزای شناخته شده این ویروس آمده است. توجه داشته باشید در برخی حملات این ویروس ممکن است نام فایلها تغییر ” این بدافزار که با نامهای W32.Flamer ویا Skywiper شناخته می شود ۲۰ برابر ویروس Stuxnet حجم دارد و مطالعات نشان میدهد که احتمالا در سال ۲۰۱۰ تولید شده است. “
کند:
نحوه عملیات به این صورت است که ابتدا فایل advnetcfg.ocx در حافظه Load می شود. سپس بکمک آن یک فایل رمز شده با نام ccalc۳۲.sys رمزگشایی می شود. فایل ccalc۳۲.sys یک فایل رمزشده با روش RC۴-encrypted و با یک کلید ۱۲۸ بیتی است. بدافزار بعد از ایجاد فایل ccalc۳۲.sys به سراغ فایل kernel۳۲.dll می رود و آنرا آلوده می سازد. فایل Kernel۳۲.dll از جمله فایلهای سیستمی Windows است. Windows تلاش می کند ایجاد تغییر در این فایل سیستمی را به User اعلام کند. فایل advenetcfg.ocx فرمانهای صادر شده از یک جزء دیگر بدافزار را که هنوز تحلیل روی آن ادامه دارد و ناشناخته است به اجرا در می آورد.
فایل advnetcfg.ocx با استفاده از روشهای پیچیده خود را به winlogon.exe ، پروسسهای نرم افزارهای امنیتی و یا پروسسهای دیگر تزریق می کند، علاوه بر این، ممکن است فایل shell۳۲.dll که از فایلهای سیستمی ویندوز است نیز با نسخه آلوده شده ای جایگزین گردد.
فایل advnetcfg.ocx قابلیت ضبط تصاویر نیز را نیز داراست.
mssecmgr.ocx فایلی بزرگ و با قابلیتهای پیچیده زیادی است که در شکل زیر آمده است:
این فایل همزمان دارای یک مترجم(Interpreter) LUA، کد SSH، و قابلیتهای SQL است. پیاده سازی و استفاده از یک مترجم LUA باعث شده این ویروس بسیار قابل انعطاف و قابل تنظیم باشد. این به مهاجمان اجازه می دهد از راه دور بتوانند فرمانهای متنوع خود را خیلی سریع و راحت به اجرا درآورند و حتی ماهیت عملکرد ویروس را تغییر دهند.
اثر این فایل ممکن است در رجیستری ویندوز در آدرس زیر دیده شود:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Lsa\"Authentication Packages" = "mssecmgr.ocx"
چندین ماژول اضافی دیگر نیز در mssecmgr.ocx وجود دارد که در شکل آمده است.
یکی از اجزایی که توسط فایل mssecmgr.ocx میتواند مورد فراخوانی قرارگیرد فایلی است بنام ~DEB۹۳D.tmp. این فایل منشأ ویروس Wiper است که در اوایل اردیبهشت ماه به شبکه وزارت نفت ایران آسیب وارد کرد و باعث قطع چند روزه شبکه پایانههای نفتی ایران از اینترنت گردید. بدلیل عملکرد این ویروس و حذف اطلاعات هارد دیسک سیستم ها، این ویروس بنام Wiper نامگذاری گردید.
فایل nteps۳۲.ocx مسئول ضبط تصاویر در این بدافزار است. این فایل به منظور ضبط تصاویر، اطلاعات تنظیمات خود را از فایلی بنام boot۳۲drv.sys دریافت می کند. در این فایل تعیین میشود که چه تصاویری و با چه تنظیماتی ضبط شود و چگونه ارسال گردد. این فایل نیز با کدینگ ۰xFF کد شده است.
فایل msglu۳۲.sys حاوی کد است که سرقت اطلاعات را انجام می دهد. این فایل، وظیفه شناسایی و سرقت انواع فایل ها نظیر انواع اسناد، تصاویر، دادههای GPS، فایلهای پروژه و نقشههای فنی را بر عهده دارد. این فایل همچنین دارای قابلیتهای SQL است. جالب توجه است، این ماژول شامل عبارتهای متعددی از واژه 'JIMMY' است. (مانند: 'Jimmy Notice: failed to convert error string to unicode')
نکته قابل توجه دیگر این است که درون کدهای این بدافزار بطور متعدد از واژه 'FLAME' استفاده شده است که می تواند معنی خاصی داشته باشد.
طبیعت ماجولار این تروجان نشان می دهد که یکی از اهداف گروه طراحان آن، استفاده بلندمدت از این بدافزار برای طراحی حملات خود بوده است. معماری بکار رفته در W۳۲.Flamer اجازه می دهد تا طراحان بدون نیاز به دوباره کاری بتوانند عملکرد و رفتار ویروس را به دلخواه خود تغییر دهند و یا ماژولهای جدیدی به آن اضافه کنند. می توانند آنرا ارتقا دهند و یا به منظور فرار از نرم افزارهای امنیتی تغییر شکل دهند.
سیمانتک درحال بررسی و تحلیل لایههای عمیق بکار رفته در این ویروس بوده و به زودی نتایج بررسیهای خود را منتشر خواهد کرد.
itna.ir
جواب بصورت نقل قول
نوشته شده توسط AMIR.KIK
Virusssssssssss
.gif "N Aggressive (17)")
.gif "N Aggressive (4)")
.gif "N Aggressive (16)")
.gif "N Aggressive (39)")
