ماه: خرداد 1391

ابزار پاكسازی بدافزار Flame

مركز ماهر اقدام به انتشار ابزار تشخیص و پاكسازی بدافزار Flame نموده است.

 

بدافزار Flamer ؛  تهدیدی پیچیده و هوشمند؛ هدف : خاورمیانه

گزارش شرکت سیمانتک در مورد بدافزار Flamer

این بدافزار توسط CrySys با عنوان Skywiper عنوان شده است و مرکز Cert ایران{ماهر} آن را w32.flamer نامیده است.

کدهای به کار رفته در این بدافزار در ظاهر شبیه کدهای معمولی نرم‌افزارها است، اما پس از بررسی دقیق مشخص می‌شود که قابلیتهای مخرب‌ فراوانی بصورت هوشمندانه در این بدافزار قرارداده شده است.

این قابلیت‌ها و پیچیدگی‌ها باعث شده است که عملکرد آن بسیار شبیه در بدافزار Stuxnet و Duqu باشد و احتمالاً این بدافزار توسط یک گروه {دولت} با حمایت‌های فراوان مالی و عملیاتی تهیه شده است. …..

(متن کامل در لینک زیر – فقط ترجمه کردم فرصت ویرایش نداشتم)

flamer

شناسایی عامل تهدید هدفمند سایبری Flame

در پی بررسی­های تخصصی انجام شده طی چند ماه گذشته توسط كارشناسان مركز ماهر و در ادامه تحقیقات صورت گرفته از سال 2010 پیرامون حملات هدفمند سازمان دهی شده استاكس نت و دیوكیو، این مركز برای نخستین بار اقدام به انتشار اطلاعات آخرین نمونه از حملات این خانواده می نماید.

این حمله توسط بدافزاری كه از این پس با نام Flame (شعله آتش) معرفی خواهد شد صورت می گیرد. این نام برگرفته از محتویات رمزگشایی شده فایل های اصلی بدافزار است. این بدافزار در واقع پلتفرمی است كه قابلیت دریافت و نصب ابزارهای گوناگون جهت فعالیت های مختلف را داراست. در حال حاضر هیچ كدام از اجزای پرشمار تشكیل دهنده این بدافزار توسط بیش از 43 نرم افزار آنتی ویروس در دسترس مورد شناسایی قرار نمی گیرند. با این وجود ابزار شناسایی و پاكسازی این بدافزار در مركز ماهر تهیه شده و از امروز در اختیار سازمان ها و شركتهای متقاضی قرار خواهد گرفت.

شماری از قابلیت­های مهم این بدافزار عبارتند از:

• انتشار از طریق حافظه های فلش
• انتشار در سطح شبكه
• پویش شبكه و جمع آوری و ثبت اطلاعات منابع شبكه و رمز عبور سیستم­های مختلف
• پویش دیسك كامپیوتر آلوده و جستجو برای فایل­هایی با پسوندها و محتوای مشخص
• تهیه تصویر از فعالیت­های خاص كاربر سیستم آلوده با ذخیره سازی تصاویر نمایش داده شده بر روی مانیتور كاربر
• ذخیره سازی صوت دریافتی از طریق میكروفن سیستم در صورت وجود
• ارسال اطلاعات ذخیره شده به سرورهای كنترل خارج از كشور
• دارا بودن بیش از 10 دامنه مورد استفاده به عنوان سرور C&C
• برقراری ارتباط امن با سرورهای C&C از طریق پروتكل های SSH و HTTPS
• شناسایی و از كار انداختن بیش از 100 نرم افزار آنتی ویروس، ضد بدافزار، فایروال و …
• قابلیت آلوده سازی سیستم­های ویندوز XP، ویستا و ویندوز 7
• قابلیت آلوده سازی سیستم­های یك شبكه در مقیاس بالا

به احتمال قریب به یقین و با در نظر گرفتن پیچیدگی و كیفیت بالای عملكرد و همچنین اهداف مشابه این بدافزار، می­توان آن را محصولی از خانواده استاكس نت و دیوكیو دانست.

نشانه های یافت شده حاكی از آن است كه رویدادهای رخ داده اخیر درخصوص از بین رفتن همزمان اطلاعات سیستم­های كامپیوتری نتیجه فعالیت یكی از اجزای این بدافزار می_­باشد.

با تحلیل انجام شده فهرستی از اجزای تشكیل دهنده این بدافزار شناسایی شده و در جدول زیر ارائه می­گردد. این اطلاعات قابل ارائه به تولیدكنندگان عمده آنتی ویروس می­باشد و از این پس اجزای این بدافزار می­تواند مورد شناسایی آنتی ویروس­ها قرار گیرد.

 

 

علائم آلودگی و جزئیات اجزای تشكیل دهنده بدافزار

وجود هریك از این نشانه ها بیانگر آلودگی سیستم به بدافزار flame است:

منبع :  http://certcc.ir

 

هشدارمهم! آمادگی در برابر ويروس  وایپر

براساس گزارشات دريافتي، تعدادی از شرکتهای ایرانی اخیرا آلوده به ویروس خطرناکی شده اند كه اطلاعات دستگاهها رابصورت دائمي وغيرقابل برگشت، حذف ميكند. بدلیل اهمیت موضوع لازم است مدیران محترم شبکه توصیه های زیر را به منظور اطمینان بیشتر و کاهش ریسک این تهدید و سایر تهدیدات مشابه در شبکه خود انجام دهند:

1 – ازبه روزبودن آنتی ویروس خود برروي تمامی دستگاههای شبكه اطمينان حاصل كنيد

2 – ازاطلاعات خوديك نسخه پشتيبان بطوركامل تهيه كرده ودرمحل ديگری بصورت Offline مثلاًبر روی HDDهای External ويا DVD كپی كنيد .

3- آخرين بسته هاي بروزرسانی های واصلاحيه (Patch) سيستم عامل ونرم افزارهای كاربردی مورداستفاده رابرروي تمام دستگاههاوبه ويژه Serverهانصب كنيد ، براي اينكارمي توان ازنرم افزار WSUS و يا سایر نرم افزار های Patch Management مانند GFI Languard استفاده كرد .

4 – دسترسي كاربران به درگاههاي فيزيكي ماننددرگاه USB برای استفاده ازديسكهای قابل حمل رامحدودكنيد . برای اينكارميتوان از Application And Device Control در Symantec استفاده كرد .

5 –درصورتي كه ازسخت افزارهاي امنيتی يا نرم افزارهای Firewall برروي ورودي شبكه (Gateway) استفاده می كنيد ، دسترسي كاربران به اينترنت رامحدودبه سرويسها و پورتهای مورد نیازنماييد.

متاسفانه در حال حاضر خبر و اطلاعاتي در مورد بدافزار مورد نظر در اينترنت و سايتهاي خارجي معتبر وجود نداشته و در هيچ كشوري مشابه آن گزارش نشده است. از آنجا كه بدافزار مورد اشاره تاكنون توسط هيچ آنتي ويروس داخلي و خارجي شناسايي نشده و همچنين sample فايل آلوده جهت گزارش و ارسال نيز در دسترس نيست، در حال حاضر روشي براي پاك سازي و يا شناسايي قبل از وقوع وجود ندارد.

با اين وجود برخي منابع كارشناسي وتحقيقاتي درباره روش مقابله باويروس احتمالي Wipe راهكاري را بصورت زير پيشنهاد داده اند. با بررسیهای دقیق مشخص شد در تمام این موارد از دستور diskpart استفاده شده است. این دستور از دستورات command prompt می باشد و در ویندوز هم قابل اجرا است. براين اساس، توصیه اکید می شوددسترسي وفعاليت فايل diskpart.exe که از فایلهای سیستمی Windows بوده و در حالت عادی کاربردی ندارد محدود گردد.

جهت جلوگيري از اجراي فايل diskpart.exe لازم است از هر دو روش زير به صورت همزمان استفاده گردد تا از هرگونه احتمال خطر اجتناب شود.

روش اول(تغيير نام فايل diskpart.exe بر روي تمامي سرورها و كلاينتهاي مهم):

فايل diskpart.exe که از فایلهای سیستمی Windows بوده و در حالت عادی کاربردی ندارد در محل های زير قرار دارد:

%windir%system32diskpart.exe

%windir%system32en-USdiskpart.exe.mu

تغییرنام این فایل ها بايد در حالت Safe mode انجام شود.زيرا ويندوز در حالت عادي اجازه انجام اين كار را نمي دهد.

نكته: در ويندوز 7 ابتدا دستورات زير را اجرا كنيد بعد بر روی فایلها کلیک راست کرده و permision آنها را fullcontrol کنید و سپس اقدام به تغییر نام نمایید .

takeown /f c:windowssystem32diskpart.exe

takeown /f c:windowssystem32en-USdiskpart.exe.mui

http://www.ayco.ir