همه چیز درباره ی ویروس FLAME یا FLAMER

ویروس جدید Flame توسط نود32 مهار گردید

اخبار ویروس های جدید

 
 
  ویروس جدید Flamer یا شعله توسط آنتی ویروس های ESET قابل پاکسازی است :

ویروس جدید Flame یا Flamer با هدف حملات سایبری به سازمان ها و ادرات کشور شناسائی شد. این بدافزار جاسوسی به دلیل پیچیدگی ساختار ، کیفیت عملکرد و اهداف مشابه ، از خانواده استاکس نت و دیوکیو می باشد. این بدافزار در روز 08 خرداد 1391 در آپدیت شماره 7176 توسط آنتی ویروس های ESET شناسائی شده و قابل پاکسازی میباشد. برای اطلاعات بیشتر در مورد این بدافزار بر روی ادامه خبر کلیک نمائید.

 


توضیحاتی در مورد  این بدافزار و قابلیت های آن :
________________________________________


این حمله توسط بدافزاری که از این پس با نام Flame (شعله آتش) معرفی خواهد شد صورت گرفته است. این نام برگرفته از محتویات رمزگشایی شده فایل های اصلی بدافزار است. این بدافزار در واقع پلتفرمی است که قابلیت دریافت و نصب ابزارهای گوناگون جهت فعالیت های مختلف را داراست. در حال حاضر ( 7 خرداد 1391 ) هیچ کدام از اجزای پرشمار تشکیل دهنده این بدافزار توسط بیش از 43 نرم افزار آنتی ویروس جهان مورد شناسایی قرار نمی گیرند.

شماری از قابلیت­های مهم این بدافزار عبارتند از:

  • انتشار از طریق حافظه های فلش
  • انتشار در سطح شبکه
  • پویش شبکه و جمع آوری و ثبت اطلاعات منابع شبکه و رمز عبور سیستم­های مختلف
  • پویش دیسک کامپیوتر آلوده و جستجو برای فایل­هایی با پسوندها و محتوای مشخص
  • تهیه تصویر از فعالیت­های خاص کاربر سیستم آلوده با ذخیره سازی تصاویر نمایش داده شده بر روی مانیتور کاربر
  • ذخیره سازی صوت دریافتی از طریق میکروفن سیستم در صورت وجود
  • ارسال اطلاعات ذخیره شده به سرورهای کنترل خارج از کشور
  • دارا بودن بیش از 10 دامنه مورد استفاده به عنوان سرور C&C
  • برقراری ارتباط امن با سرورهای C&C از طریق پروتکل های SSH و HTTPS
  • شناسایی و از کار انداختن بیش از 100 نرم افزار آنتی ویروس، ضد بدافزار، فایروال و ...
  • قابلیت آلوده سازی سیستم­های ویندوز XP، ویستا و ویندوز 7
  • قابلیت آلوده سازی سیستم­های یک شبکه در مقیاس بالا


به احتمال قریب به یقین و با در نظر گرفتن پیچیدگی و کیفیت بالای عملکرد و همچنین اهداف مشابه این بدافزار، می­توان آن را محصولی از خانواده استاکس نت و دیوکیو دانست.

نشانه های یافت شده حاکی از آن است که رویدادهای رخ داده اخیر درخصوص از بین رفتن همزمان اطلاعات سیستم­های کامپیوتری نتیجه فعالیت یکی از اجزای این بدافزار می­باشد.

با توجه به اعلام مراکز بین المللی تخصصی در این حوزه، فلسطین،‌ مجارستان، ‌لبنان، استرالیا، ‌سوریه، ‌روسیه،‌ هنگ کنگ و امارات از جمله کشورهایی هستند که در حال حاضر مورد هدف این بدافزار قرار گرفته اند.

ویروس مذکور در تاریخ 08 خرداد 1391 یعنی دقیقا پس از گزارش مرکز ماهر در آپدیت شماره 7176 آنتی ویروس های ESET شناسائی گردید . همچنین در آپدیت های 7177 - 7178 و 7179 نیز اجزای مختلف این بدافزار شناسائی گردید.

لذا از سازمان ها ، شرکت ها و کاربران گرامی خواستاریم همیشه آنتی ویروس های سیستم های خود را Update نمایند تا از گزند این نوع حملات سایبری در امان باشند.

بنا بر گزارش منابع غیر معتبر این ویروس مدت هاست که در کشور های قربانی در حال فعالیت و سرقت اطلاعات است . با این شرح ، داستان استاکس نت بار دیگر تکرار شده است و این بار پیچیدگی و پیشرفتگی این بدافزار بی نظیر است.


چه کسی زودتر ویروس Flame را در سال 2012 شناسائی کرد ؟
_________________________________________________________

شایعات بسیاری در مورد مرجع اولیه شناسائی این ویروس وجود دارد و برخی شایعات حاکی از این است که اولین بار موسسه روسی کسپرسکی این ویروس را شناسائی کرده است. اما حقیقت این است که این ویروس پس از اعلام رسمی در تاریخ 27 می 2012 توسط مرکز ماهر پس از 24 ساعت یعنی 28 می 2012 توسط آنتی ویروس های نود32 در آپدیت شماره 7176 شناسائی شد که می توان این مدرک را در لینک زیر مشاهده نمود . البته گونه ای قدیمی از ویروس Flame پیشتر در سال 2006 توسط ESET شناسائی شده بود که با گونه جدید بسیار متفاوت است :

http://www.eset.eu/podpora/aktualizacia-7176?lng=en

این در حالی است که آنتی ویروس کسپرسکی گونه جدید را در تاریخ 29 می در ساعت 11:27 شب یعنی بیش از 24 ساعت بعد از ESET شناسائی نموده است . گونه قدیمی تر این بدافزار در سال 2010 توسط کسپر شناسائی شده است که با گونه جدید بسیار متفاوت بوده است:

http://www.kaspersky.com/viruswatchlite?search_virus=Worm.Win32.Flame.c&x=8&y=3&hour_offset=0.5


آنتی ویروس آویرا نیز ویروس مذکور را 24 ساعت بعد از ESET در 29 می 2012 شناسائی کرده است :

http://www.avira.com/en/support-vdf-history?vdf_vhr=TR%2FFlame.A&searchtype_vhr=VIR&search=


اما به هر حال مهم این است که گونه جدید اولین بار در تاریخ 27 می 2012 توسط متخصصین و مهندسین ایرانی شناسائی شده است !




اما چرا این ویروس خطرناک باید بعد از این مدت طولانی شناسائی شود ؟

_________________________________________________________

یکی از علت های مهم، عدم توجه کاربران به نکات امنیتی می باشد . نکات امنیتی در مورد شناسائی ویروس های ناشناخته در پکیج های شرکت مهندسی کامیران به صورت فیلم آموزشی قابل مشاهده است.

اما نکته مهم تر عدم ارسال فایل های مشکوک توسط کاربران به لابراتوآر های موجود در کشور می باشد و این امر هم به دو دلیل است:
1- عدم آگاهی کامل کاربران
2 - استفاده از آنتی ویروس های غیر اورجینال که در این حالت کاربر با آلوده شدن توسط یک ویروس ناشناخته به دلیل عدم پشتیبانی فنی در مورد آنتی ویروس اقدام به تعویض ویندوز نموده و ویروس همچنان ناشناخته باقی می ماند !


اینجاست که نقش یک آنتی ویروس اختصاصی در کنار پشتیبانی قوی و فعالیت تخصصی لابراتوآر های ویروس شناسی پررنگ تر میشود و ضرورت آن برای کلیه کاربران ، شرکت ها و سازمان ها احساس میشود و در مقابل استفاده از آنتی ویروس های کرک شده و فاقد پشتیبانی فنی بر مشکلات امنیت و حملات سایبری فوق دامن خواهد زد.





تحلیل فنی بدافزار Flamer :
________________________________________


تعدادی از اجزای این تهدید کشف شده است و در حال حاضر در حال تجزیه و تحلیل بر روی آنها ادامه دارد. اجزای کشف شده این ویروس بگونه ای نوشته شده اند که در نگاه اول به نظر نمی رسد حاوی کدهای مخرب باشند. اما تحلیلهای دقیقتر نشان از مخرب بودن آنها دارد. کدهای این ویروس بسیار پیچیده است و همین امر مانع تجزیه و تحلیل آن می شود. از جمله قابلیت‌های کلی شناخته شده این ویروس می توان به توانایی سرقت اسناد، گرفتن تصاویری از دسکتاپ کاربران و انتشار از طریق Cooldisk اشاره کرد. این بدافزار همچنین قادر است برخی از نرم افزارهای امنیتی نصب شده روی سیستم کاربر را غیرفعال کند.

” این بدافزار که با نام‌های W32.Flamer ویا Skywiper شناخته می شود ۲۰ برابر ویروس Stuxnet حجم دارد و مطالعات نشان می‌دهد که احتمالا هسته مرکزی آن در سال ۲۰۱۰ تولید شده است. “

نحوه عملیات به این صورت است که ابتدا فایل advnetcfg.ocx در حافظه Load می شود. سپس بکمک آن یک فایل رمز شده با نام ccalc۳۲.sys رمزگشایی می شود. فایل ccalc۳۲.sys یک فایل رمزشده با روش RC۴-encrypted و با یک کلید ۱۲۸ بیتی است. بدافزار بعد از ایجاد فایل ccalc۳۲.sys به سراغ فایل kernel۳۲.dll می رود و آنرا آلوده می سازد. فایل Kernel۳۲.dll از جمله فایلهای سیستمی Windows است. Windows تلاش می کند ایجاد تغییر در این فایل سیستمی را به User اعلام کند. فایل advenetcfg.ocx فرمانهای صادر شده از یک جزء دیگر بدافزار را که هنوز تحلیل روی آن ادامه دارد و ناشناخته است به اجرا در می آورد.

فایل advnetcfg.ocx با استفاده از روش‌های پیچیده خود را به winlogon.exe ، پروسس‌های نرم افزارهای امنیتی و یا پروسس‌های دیگر تزریق می کند، علاوه بر این، ممکن است فایل shell۳۲.dll که از فایلهای سیستمی ویندوز است نیز با نسخه آلوده شده ای جایگزین گردد.

فایل advnetcfg.ocx قابلیت ضبط تصاویر نیز را نیز داراست.
mssecmgr.ocx فایلی بزرگ و با قابلیت‌های پیچیده زیادی است که در شکل زیر آمده است:

این فایل همزمان دارای یک مترجم(Interpreter) LUA، کد SSH، و قابلیت‌های SQL است. پیاده سازی و استفاده از یک مترجم LUA باعث شده این ویروس بسیار قابل انعطاف و قابل تنظیم باشد. این به مهاجمان اجازه می دهد از راه دور بتوانند فرمانهای متنوع خود را خیلی سریع و راحت به اجرا درآورند و حتی ماهیت عملکرد ویروس را تغییر دهند.
اثر این فایل ممکن است در رجیستری ویندوز در آدرس زیر دیده شود:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa"Authentication Packages" = "mssecmgr.ocx"
چندین ماژول اضافی دیگر نیز در mssecmgr.ocx وجود دارد که در شکل آمده است.

یکی از اجزایی که توسط فایل mssecmgr.ocx میتواند مورد فراخوانی قرارگیرد فایلی است بنام ~DEB۹۳D.tmp. این فایل منشأ ویروس Wiper است که در اوایل اردیبهشت ماه به شبکه وزارت نفت ایران آسیب وارد کرد و باعث قطع چند روزه شبکه پایانه‌های نفتی ایران از اینترنت گردید. بدلیل عملکرد این ویروس و حذف اطلاعات هارد دیسک سیستم ها، این ویروس بنام Wiper نامگذاری گردید.

فایل nteps۳۲.ocx مسئول ضبط تصاویر در این بدافزار است. این فایل به منظور ضبط تصاویر، اطلاعات تنظیمات خود را از فایلی بنام boot۳۲drv.sys دریافت می کند. در این فایل تعیین میشود که چه تصاویری و با چه تنظیماتی ضبط شود و چگونه ارسال گردد. این فایل نیز با کدینگ ۰xFF کد شده است.

فایل msglu۳۲.sys حاوی کد است که سرقت اطلاعات را انجام می دهد. این فایل، وظیفه شناسایی و سرقت انواع فایل ها نظیر انواع اسناد، تصاویر، داده‌های GPS، فایل‌های پروژه و نقشه‌های فنی را بر عهده دارد. این فایل همچنین دارای قابلیت‌های SQL است. جالب توجه است، این ماژول شامل عبارتهای متعددی از واژه 'JIMMY' است. (مانند: 'Jimmy Notice: failed to convert error string to unicode')

نکته قابل توجه دیگر این است که درون کدهای این بدافزار بطور متعدد از واژه 'FLAME' استفاده شده است که می تواند معنی خاصی داشته باشد از این رو اسم این بد افزار را Flame یا Flamer گذاشته اند.

طبیعت ماجولار این تروجان نشان می دهد که یکی از اهداف گروه طراحان آن، استفاده بلندمدت از این بدافزار برای طراحی حملات خود بوده است. معماری بکار رفته در Flamer اجازه می دهد تا طراحان بدون نیاز به دوباره کاری بتوانند عملکرد و رفتار ویروس را به دلخواه خود تغییر دهند و یا ماژولهای جدیدی به آن اضافه کنند. می توانند آنرا ارتقا دهند و یا به منظور فرار از نرم افزارهای امنیتی تغییر شکل دهند.
کلیه شرکت ها و لابراتوآر های امنیتی و ویروس شناسی درحال بررسی و تحلیل لایه‌های عمیق بکار رفته در این ویروس بوده و به زودی نتایج بررسی‌های خود را منتشر خواهد کرد.






با تشکر
لابراتوار ویروس شناسی شرکت کامیران

________________________________________



* گزارش عملکرد به نقل از مرکز ماهر ( مدیریت امداد رخداد های رایانه ای کشور وابسته به وزارت اطلاعات و فناوری اطلاعات )

/ 5 نظر / 24 بازدید
بازاریاب

دوست عزیز سلام اگر تمایل دارید مدیریت قوی تری بر وبلاگ خود داشته باشید،امکانات بیشتری به مخاطبین خود ارائه نمایید و یا یک گام بزرگ برای ورود به دنیای وب مستران بردارید ما توصیه می کنیم همین امروز از امکانات رایگان ارائه شده توسط تیم اندیشه ی برتر نهایت بهره را ببرید و با تبدیل وبلاگ خود به وب سایت خواسته های خود را محقق کنید. هم اکنون اقدام کنید و از امکانات دامین و هاست رایگان برخوردار شوید http://designer.moshakhasat.com همچنین در صورتی که تمایل دارید از طریق وبلاگ خود کسب درآمد کنید آدرس زیر را نیز حتما ملاحظه بفرمایید http://www.moshakhasat.com/index.php?route=information/information&information_id=9 شنبه ۲۸ مرداد ۱۳۹۱ ساعت ۲۳:۳۱

موفقیت در کمین شماست

امروز گامی برای موفقیت برداشته اید؟ مجموعه ی آموزشی سریع خوانی همراه با نرم افزار ارائه شده توسط استاد بزرگ کتاب خوانی جهان مجموعه ی 7 راز بزرگ انگیزه مجموعه ی آموزشی استفاده از قدرت حافظه مجموعه ی آموزشی استفاده بهینه از شرایط بد و بدشانسی ها مجموعه ی آموزشی تفکر تحول برانگیز مجموعه ی آموزشی تمرکز جادویی مجموعه ی آموزشی راه های اجرایی کسب ثروت مجموعه ی آموزشی مثبت اندیشی و اعتماد به نفس مجموعه ی آموزشی پیروزی در تعاملات روزانه بسته ی آموزشی نکات طلایی برای موفقیت دانشجویان بسته ی آموزشی نکات طلایی در صحبت کردن با کودکان زود دیر می شود 2096961724

فرید

با عرض سلام و خسته نباشید از ظاهر وبلاگتان این طور به نظر می رسد که برای آن زحمت کشیده اید ما هم می خواهیم شما را در این زمینه یاری برسانیم شما یقینا محدودیت هایی که یک وبلاگ دارد را به خوبی می دانید با این حال بد نیست مجددا آنها را با هم مرور کنیم: وجود یک تبلیغ ناخواسته و نامربوط با محتوای وبلاگ محدودیت در قالب های وبلاگ نداشتن فضای مناسب برای قرار دادن فیلم و عکس و فایل و ... سخت بودن افزودن یک امکان ساده، مانند نظرسنجی،آمارگیر جدید و ... عدم پشتیبانی از امکانات پیشرفته تر با این حال راهی ساده برای حل تمامی این مشکلات وجود دارد تبدیل وبلاگ به سایت به آدرس سایت مراجعه کنید و مراحل را دنبال نمایید و ظرف 24 ساعت از تمامی این مشکلات برای همیشه خلاصی پیدا کنید موفق باشید 849836469

street show

سلام وب زیبا و پر محتوایی دارید . بسیار خوشوقت میشیم شما رو هم تو لیست دوستانمون داشته باشیم . اگه لطف کردید و ما رو تو وبتون لینک کردید به ما اطلاع بدید تا ما هم اینکار رو بکنیم . سپاسگزاریم . ( لطفاً ما را با نام street show و به آدرس www.streetshow.ir لینک بفرمایید. )

نیما

ویروس فلیم اولین بار توسط آنتی ویروس Prevx که الان جزئی از آنتی ویروس webroot هست شناسایی شده .