تبلیغات
مجله خبری تحلیلی پارس - انتشار ابزار پاک سازی بد افزار "شعله آتش" (Flame)

شما عزیزان برای دیدن وبلاگ جدید من می توانید به این آدرس مراجعه نمائید : www.haghighatjoo.ir

انتشار ابزار پاک سازی بد افزار "شعله آتش" (Flame)

نوشته شده توسط سردبیر دوشنبه 1391/03/22 نظرات بازدید
نخستین نسخه پاک‌سازی ویروس رایانه‌ای Flame (شعله آتش) از سوی مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) تولید شد.


بدافزار Flame (شعله آتش)
از جمله بدافزارهای پیچیده ای محسوب می شود که برای انجام فعالیت خود دارای رمزنگاری های زیادی بوده و براساس آزمایشهای صورت گرفته، از طریق 43 آنتی ویروس مختلف، امکان شناسایی این بدافزار وجود نداشته است.
با من در ادامه این مطلب همراه باشید ...

در پی انتشار خبر شناسایی بدافزار Flame توسط آزمایشگاه تحقیقاتی مرکز ماهر، شرکت­های امنیتی سایمانتک، سوفوس، مک آفی، F-Secure و همچنین آزمایشگاه رمزنگاری دانشگاه فناوری و اقتصاد بوداپست نیز اقدام به انتشار اطلاعاتی در این مورد کرده و به خبر مرکز ماهر ارجاع داده اند.
بر اساس این اطلاعات، این حمله توسط بدافزاری که از این پس با نام Flame (شعله آتش) معرفی خواهد شد صورت می گیرد.
این نام برگرفته از محتویات رمزگشایی شده فایل های اصلی بدافزار است.
این بدافزار در واقع پلتفرمی است که قابلیت دریافت و نصب ابزارهای گوناگون برای فعالیت های مختلف را داراست.
در حال حاضر هیچ کدام از اجزای پرشمار تشکیل دهنده این بدافزار توسط بیش از 43 نرم افزار آنتی ویروس در دسترس مورد شناسایی قرار نمی گیرند.


>> برخی قابلیت­های مهم بدافزار شعله

  • انتشار از طریق حافظه های فلش
  • انتشار در سطح شبکه
  • پویش شبکه، جمع آوری و ثبت اطلاعات منابع شبکه و رمز عبور سیستم­های مختلف
  • پویش دیسک کامپیوتر آلوده و جستجو برای فایل­هایی با پسوندها و محتوای مشخص
  • تهیه تصویر از فعالیت­های خاص کاربر سیستم آلوده با ذخیره سازی تصاویر نمایش داده شده بر روی مانیتور کاربر
  • ذخیره سازی صوت دریافتی از طریق میکروفن سیستم در صورت وجود
  • ارسال اطلاعات ذخیره شده به سرورهای کنترل خارج از کشور
  • دارا بودن بیش از 10 دامنه مورد استفاده به عنوان سرور C&C
  • برقراری ارتباط امن با سرورهای C&C از طریق پروتکل های SSH و HTTPS
  • شناسایی و از کار انداختن بیش از 100 نرم افزار آنتی ویروس، ضد بدافزار، فایروال و ...
  • قابلیت آلوده سازی سیستم­های ویندوز XP، ویستا و ویندوز 7
  • قابلیت آلوده سازی سیستم­های یک شبکه در مقیاس بالا


>> شعله هم‌خانواده استاکس نت و دیوکیو

به احتمال قریب به یقین و با در نظر گرفتن پیچیدگی و کیفیت بالای عملکرد و همچنین اهداف مشابه این بدافزار، می توان آن را محصولی از خانواده استاکس نت و دیوکیو دانست.

نشانه های یافت شده حاکی از آن است که رویدادهای رخ داده اخیر درخصوص از بین رفتن همزمان اطلاعات سیستم های کامپیوتری نتیجه فعالیت یکی از اجزای این بدافزار است.

فهرستی از اجزای تشکیل دهنده این بدافزار شناسایی شده و در جدول زیر ارائه شده است.
­این اطلاعات قابل ارائه به تولیدکنندگان عمده آنتی ویروس است و از این پس اجزای این بدافزار می تواند مورد شناسایی آنتی ویروس­ها قرار گیرد.


>> علائم آلودگی به بدافزار شعله :

1- وجود کلید رجیستری
HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\Authentication Packages -> mssecmgr.ocx



2- فایل­های اجرایی و تنظیمات آلودگی
windows\system32\mssecmgr.ocx
Windows\System32\ccalc32.sys
Windows\System32\msglu32.ocx
Windows\System32\boot32drv.sys
Windows\System32\nteps32.ocx
Windows\System32\advnetcfg.ocx
Windows\System32\soapr32.ocx
Windows\System32\to961.tmp
Windows\ EF_trace.log



متخصصان کسپرسکی می گویند نگران گسترش فعالیت های بدافزار شعله یا Flame هستند که کماکان به اقدامات تخریبی خود ادامه می دهد، آنها در عین حال عملکرد خوب مرکز ایرانی ماهر در برخورد با این بدافزار خطرناک را ستودند.
آنها معتقدند هنوز زود است که بگوییم آیا جهان از این سلاح سایبری مخرب رهایی یافته است یا نه، هر چند مقامات ایرانی معتقدند این مشکل را برطرف کرده اند.
الکساندر گوستو می گوید اگر چه فعالیت نسخه فعلی Flame ظاهراً با موفقیت متوقف شده، اما ممکن است در آینده شاهد عرضه نسخه تازه ای از آن باشیم.
وی افزود: ساختار این بدافزار مبتنی بر یک مدل است و بنابراین اگر این بدافزار رایانه ای را آلوده کند، اپراتورهای طراح آن می توانند مدل های جدیدتری از آن را بر روی رایانه قبلا آلوده شده نصب کنند. این متخصص کاسپراسکای از شناسایی ۲۰ مدل مختلف بدافزار شعله خبر داد، اما گفت ممکن است در آینده مدل های تازه تری از این بدافزار هم شناسایی شود.
وی تصریح کرد: من فکر می کنم آنهایی که شعله را طراحی کرده اند هر سال مدل جدیدی از آن را عرضه کنند. این یک عملیات عظیم است که دهها نفر درگیر آن هستند و این بدافزار از این نظر همسطح استاکس است. من فکر می کنم چنین عملیات موفق سایبری با طراحی نسخه تازه ای از این بدافزار همراه خواهد بود.


کسپرسکی موفق به شناسایی ۱۸۹ سیستم آلوده به شعله در ایران شده و از نظر میزان آلودگی ایران رتبه اول را کسب کرده است. رژیم صهیونیستی و فلسطین با ۹۸ مورد آلودگی در رتبه های بعدی هستند.

Alexander Gostev در ادامه گفت: ایران ابزار اختصاصی خود را برای پاکسازی رایانه ها از بدافزار شعله عرضه کرده است. من وقتی دیدم این ابزار چقدر خوب کار می کند شگفت زده شدم. این ابزار می تواند اکثر فایل های آلوده شده به بدافزار شعله را پاکسازی کند.

وی در پاسخ به گمانه زنی هایی در مورد نقش اسرائیل در طراحی بدافزار شعله گفت: اطلاعات ما در این مورد کافی نیست و فعلا نمی توانیم مشخص کنیم چه کسانی مسئول طراحی این سلاح سایبری هستند. تحلیل ها در مورد نقش اسراییل در طراحی بدافزار شعله زمانی بالا گرفت که موشه یعلون معاون نخست وزیر رژیم صهیونیستی به این نکته اشاره کرد که ممکن است صهونیست ها در خلق بدافزار شعله دست داشته باشند.
وی روز گذشته در مصاحبه ای با رادیو ارتش این رژیم مدعی شده بود: همه تهدید ایران را مهم می دانند. منطقی است که فرض کنیم گام های متنوعی مانند این گام ها برداشته می شود تا به ایران آسیب زده شود.
پس از چاپ متن این مصاحبه در روزنامه صهیونیستی هاآرتص دیگر رسانه های جهان هم آن را نقل کرده و صهیونیست ها را مسئول طراحی بدافزار یاد شده دانستند.

براساس اعلام مرکز ماهر و با توجه به طراحی صورت گرفته، ‌بدافزار Flame (شعله آتش) که گفته می شود از خانواده ویروس رایانه‌ای استاکس نت
و دیوکیو است به کمک این آنتی ویروس که نسخه نخست آن محسوب می شود از روی سیستم کاربران حذف می شود و در صورت تایید کاربران اطلاعات این بدافزار به منظور آنالیز بیشتر به مرکز ماهر ارسال خواهد شد.


و اما مركز ماهر اقدام به انتشار راهنما و ابزار تشخیص و پاكسازی بدافزار Flame نموده است:

لینک دانلود کتابچه راهنمای استفاده از ابزار منتشر شده توسط مرکز ماهر
فرمت فایل: PDF | حجم فایل: 0.71 مگابایت





  • انعکاس آخرین اخبار و ارائه جدیدترین مقالات با محوریت ارتباطات و فناوری اطلاعات.