ویروس WIPE یا ...؟! همون ویروسی که سیستم های وزارت نفت و ... رو الوده کرده...

**picher_s** · 06-05-2012, 11:26

با درود و ادب

دوستان گرامی ، میخواستم ببینم این ویروسی که میگن اطلاعات این وزارت خونه ها رو دستکاری کرده اسمش چیه؟

و چه کارهایی میکنه؟!

**A M ! N** · 06-05-2012, 13:32

سلام جناب picher_s حال شما خوب هستین [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

اون ویروس بله اسمش Wipe یا Wiper هستش که اگه یکم سهلنگاری به خرج ندیم هیچ خطری از جانب این ویروس متوجه ما نمیشه.

همونوطوری که از اسم این ویروس پیداست این ویروس اقدام به پاکسازی میکنه ، به نوعی که اطلاعات قابل بازگشت نباشن. پس از ورود به سیستم توسط مثلا همین فلش مموری ها ( که توی همین انجمن راههای زیادی برای مراقبت و روش صحیح باز کردن فلش مموری توضیح داده شده ) اقدام به بالابردن سطح دسترسی در شبکه میکنه ، بعد ازینکه شبکه رو تحت اختیار گرفت دست به اقدامات خودش میزنه تا بدین لحظه شاید اصن کاربر اطلاع نداشته باشه ازین موضوع.. در حین عمل سیستم دچار یک Load سنگین میشه به حدی که ناچارا باید سیستم ریست بشه ، بعد از ریست کردن هم میبینید که کل هارد دیسک پاک شده...!

روش کار این ویروس هم استفاده از فایل Diskpart.exe که از برنامه های Command prompt هستش و یک فرمانی هست مشابه Fdisk ، استفاده میکنه ، این فایل به طور عادی کاربردی برای کاربر نداره ، اما خب از نقاط هوشمندانه ی کار این ویروس هم همین بود که از فایل با امضای دیجیتال خود ویندوز استفاده کرده..و درحین اجراشدن نیاز به هیچ اجازه ای نیست !!
هنوز سورس این ویروس رو کاملا نتوستن توی ایران واشکافی کنن، دلیلشم اینه که هربار که این ویروس اجرا شده همه ی اطلاعات من جمله خود ویروس هم از بین رفته و پیگیری روش های مهندسی معکوس عملا غیرممکن شده.

بهترین کار در قبال این ویروس ، حفاظت از فایل Diskpart.exe هستش که در مسیر اجرایی زیر قرار گرفته :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

حفاظت هم طرق مختلف داره یا اینکه دسترسی به این فایل رو توسط یک برنامه ی امنیتی ، محدود کنیم.

یا اینکه این فایل رو از بین ببریم کلا.. یا تغییر نام بدیمش.

که البته تغییر نام هم راه خوبی هستش منتها در حالت عادی نمیشه اینکارو انجام داد ، این کار فقط در حالت Safe mode انجام میشه

برای راحتی کار این فایلی که اینجا ضمیمه کردم بگیرین و درحالت Safe mode ( سیستم رو ریستارت کنید و دکمه ی F8 بزنید مدام و بعد از داخل لیست گزینه ی Safe mode رو انتخاب کنید و وارد یوزر Administrator بشین ) اجرا کنید

پس ازون ویروس وقتی وارد سیستم شما میشه این فایل رو پیدا نمیکنه و منهدم میشه.

موفق باشید.

***hamedkhatar*** · 10-05-2012, 10:27

سلام
بخش نامه اومده تو شرکتمون که از اطلاعات شرکت بک آپ بگیرید و قضیه خیلی جدیه
با چه چیزی از این ویروس خطناک جلوگیری کنیم؟
انگار کل اطلاعات رو پاک میکنه و نمیشه بازیابی کرد
اطلاعات بیشتر:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

لطفا آنتی ویروسهایی رو که این ویروس رو نابود میکنند و خوب ویروس رو هم اگه دارید بهم بدید
خیلی عجله ایه ممنون

**pcsoft** · 10-05-2012, 10:56

شما یه HIPS مثل کومودو نصب کن.(فقط آنتی ویروس+ hips) جلوی 99% موارد مخرب رو می گیره.
HIPS: انجام دستی و با انتخاب کاربر کارهای مهم سیستم و اجرا شدن برنامه های ناشناخته. مثل دسترسی یه برنامه به یک محل از ویندوز و.... اینطوری می تونی اگر ویروس هم اومد نگذاری اجرا بشه.

***hamedkhatar*** · 10-05-2012, 11:08

دوست عزیز بحث من کمی تخصصی تر از این حرفهاست
چند تا شرکت تو ایران دچار این ویروس شدند و همه اطلاعاتشون به فنار رفته اونوقت شما میگی HIPS درضمن سرورها معمولا سیستمهایی هستند که همیشه روشن هستند وکسی پشتشون نمیشینه که HIPS بخواد اینجا کاری انجام بده و کاربر راهنماییش کنه
فعلا هم هیچ آنتی ویروسی این ویروس رو نمیشناسه
امنیت شبکه شرکت ما هم بالاست و قویترین فایروال سخت افزاری رو داریم اینجا ولی نمیشه ریسک کرد و باید مراقب بود
فقط متاسفاه آنتی ویروسها Nod 32 هستند که خودم به شخصه بهش اعتماد ندارم
الان هم سرور ها و ادمین ها رو با MBAM و Hitman Pro اسکن کردم یه سری چیز پیدا کرد ولی حال نبودند

**pcsoft** · 10-05-2012, 11:16

نوشته شده توسط *hamedkhatar* [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

دوست عزیز بحث من کمی تخصصی تر از این حرفهاست
چند تا شرکت تو ایران دچار این ویروس شدند و همه اطلاعاتشون به فنار رفته اونوقت شما میگی HIPS درضمن سرورها معمولا سیستمهایی هستند که همیشه روشن هستند وکسی پشتشون نمیشینه که HIPS بخواد اینجا کاری انجام بده و کاربر راهنماییش کنه
فعلا هم هیچ آنتی ویروسی این ویروس رو نمیشناسه
امنیت شبکه شرکت ما هم بالاست و قویترین فایروال سخت افزاری رو داریم اینجا ولی نمیشه ریسک کرد و باید مراقب بود
فقط متاسفاه آنتی ویروسها Nod 32 هستند که خودم به شخصه بهش اعتماد ندارم
الان هم سرور ها و ادمین ها رو با MBAM و Hitman Pro اسکن کردم یه سری چیز پیدا کرد ولی حال نبودند

خب خود شما می گین آنتی ویروسی نمی شناسه این ویروس رو.(حالا البته دقیقش رو نمی دونم)
اگر اینطوریه. پس باید پیشگیری کرد. همون چیزی که توی عنوان تاپیک دیده میشه.
پس دنبال آنتی ویروس نباشید. دنبال تکنولوژی های پیشگیری کننده باشید. مثل سندباکس. البته کارکرد این تکنولوژی ها توی سرورها رو باید دید میشه و عملی هست یا نه.
درسته. قضیه توی سرورها فرق می کنه.

***Batman*** · 10-05-2012, 11:33

سلام.
این مخرب جدیدا سر و صدای زیادی به راه انداخته.
یه تاپیک در مورد این مخرب در بخش اورژانس داریم.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

لطفا بحث رو همونجا ادامه بدید تا یه تاپیک جامع و هدفمند داشته باشم.
این تاپیک را هم به تدریج ادغام میکنیم.
با تشکر.

نام تاپيک: ویروس WIPE یا ...؟! همون ویروسی که سیستم های وزارت نفت و ... رو الوده کرده...

اختيارات تاپيک