ویروس Flame بعد از دوسال کشف شد +دانلود فایل شناسایی و پاکسازی

هنوز زمان زیادی از کشف ویروس خطرناک Stuxnet نگذشته است که بار دیگر شرکت‌های امنیتی خبر از کشف نمونه دیگر می‌دهند. این بار اما بسیار خطرناک‌تر و پیشرفته‌تر. دیروز شرکت امنیتی Kaspersky در وبلاگ خود خبر از کشف بدافزار بسیار پیشرفته جدیدی را داد که با توجه به شواهد از سال 2010 تا کنون در منطقه غرب آسیا مشغول فعالیت است و البته همچنان ادامه می‌دهد.
Kaspersky که این بدافزار را به خاطر نام فایل‌های کشف شده Flame به معنی "شعله آتش" می‌نامد، اعلام کرده است که این بدافزار پیچیده‌ترین و پیشرفته‌ترین در نوع خود است که قادر به سرقت هرگونه اطلاعات از کامپیوتر قربانی خواهد بود به طوری که حتی توانایی ضبط مکالمات صوتی انجام شده را نیز داراست و در واقع می‌توان گفت هرکاری که دلش بخواهد قادر است انجام دهد. این شرکت همچنین اعلام کرده است که المانی خاص در این ویروس کشف شده است که تنها در ویروس استاکس‌نت دیده شده اما این ویروس به مراتب قوی‌تر از استاکس‎نت عمل می‌کند. نکته قابل توجه زمان آغاز به کار این ویروس است که بسیار نزدیک به زمان کشف استاکس‌نت است. ویروس شعله بنا به گزارشات، از ماه مارس سال 2010 میلادی شروع به کار کرده است و حتی گمان می‌رود که تاریخ آن به قبل‌تر نیز برگردد، این در حالیست که استاکس‌نت هم تقریبا دو ماه بعد کشف شد. موضوع جالب این است که این ویروس به نوعی اتفاقی به دام افتاده است و احتمالا اگر قرار به کشف آن توسط نرم‌افزارهای امنیتی بود سالهای سال فعالیت آن ادامه پیدا می‌کرد. 

برای اطلاعات بیشتر. غیر فعال کردن و چک کردن سیستم و از بین بردن اینویروس خطرناک روی ادامه مطلب کلیک کنید

منطقه مورد هدف این بدافزار به مانند استاکس‌نت، محدوده خاورمیانه بوده که به گزارش Kaspersky، ایران، فلسطین، امارات، سودان، سوریه، لبنان و عربستان کشورهای مورد حمله‌ی آن بوده‌اند. اما به نقل از Symantec در کشورهای اتریش، روسیه، هنگ کنگ و مجارستان نیز گزارش‌هایی از آلوده شدن وجود داشته است. دسته‌بندی کامپیوترهای مورد حمله نیز متفاوت بوده و از شرکت‌ها و ارگان‌های دولتی تا کامپیوترهای شخصی را دربر می‌گیرد اما همچنان گزارش دقیقی از میزان تخریب و یا اطلاعات دزدیده شده در دسترس نیست.

با این اوصاف Flame بار دیگر به ما قدرت حملات سایبری و اهمیت مسایل امنیتی در فضای اینترنت را یادآوری می‌کند. 

در پی بررسی­های تخصصی انجام شده توسط کارشناسان مرکز ماهر و در ادامه تحقیقات صورت گرفته پیرامون حملات هدفمند استاکس نت و دیوکیو، این مرکز برای نخستین بار اقدام به انتشار اطلاعات آخرین نمونه از حملات این خانواده می نماید.

در پی بررسی­های تخصصی انجام شده طی چند ماه گذشته توسط کارشناسان مرکز ماهر و در ادامه تحقیقات صورت گرفته از سال 2010 پیرامون حملات هدفمند سازمان دهی شده استاکس نت و دیوکیو، این مرکز برای نخستین بار اقدام به انتشار اطلاعات آخرین نمونه از حملات این خانواده می نماید.

این حمله توسط بدافزاری که از این پس با نام Flame (شعله آتش) معرفی خواهد شد صورت می گیرد. این نام برگرفته از محتویات رمزگشایی شده فایل های اصلی بدافزار است. این بدافزار در واقع پلتفرمی است که قابلیت دریافت و نصب ابزارهای گوناگون جهت فعالیت های مختلف را داراست. در حال حاضر هیچ کدام از اجزای پرشمار تشکیل دهنده این بدافزار توسط بیش از 43 نرم افزار آنتی ویروس در دسترس مورد شناسایی قرار نمی گیرند. با این وجود ابزار شناسایی و پاکسازی این بدافزار در مرکز ماهر تهیه شده و از امروز در اختیار سازمان ها و شرکتهای متقاضی قرار خواهد گرفت.

شماری از قابلیت­های مهم این بدافزار عبارتند از:

·         انتشار از طریق حافظه های فلش

·         انتشار در سطح شبکه

·         پویش شبکه و جمع آوری و ثبت اطلاعات منابع شبکه و رمز عبور سیستم­های مختلف

·         پویش دیسک کامپیوتر آلوده و جستجو برای فایل­هایی با پسوندها و محتوای مشخص

·         تهیه تصویر از فعالیت­های خاص کاربر سیستم آلوده با ذخیره سازی تصاویر نمایش داده شده بر روی مانیتور کاربر

·         ذخیره سازی صوت دریافتی از طریق میکروفن سیستم در صورت وجود

·         ارسال اطلاعات ذخیره شده به سرورهای کنترل خارج از کشور

·         دارا بودن بیش از 10 دامنه مورد استفاده به عنوان سرور C&C

·         برقراری ارتباط امن با سرورهای C&C از طریق پروتکل های SSH و HTTPS

·         شناسایی و از کار انداختن بیش از 100 نرم افزار آنتی ویروس، ضد بدافزار، فایروال و ...

·         قابلیت آلوده سازی سیستم­های ویندوز XP، ویستا و ویندوز 7

·         قابلیت آلوده سازی سیستم­های یک شبکه در مقیاس بالا

به احتمال قریب به یقین و با در نظر گرفتن پیچیدگی و کیفیت بالای عملکرد و همچنین اهداف مشابه این بدافزار، می­توان آن را محصولی از خانواده استاکس نت و دیوکیو دانست.

نشانه های یافت شده حاکی از آن است که رویدادهای رخ داده اخیر درخصوص از بین رفتن همزمان اطلاعات سیستم­های کامپیوتری نتیجه فعالیت یکی از اجزای این بدافزار می_­باشد.

با تحلیل انجام شده فهرستی از اجزای تشکیل دهنده این بدافزار شناسایی شده و در جدول زیر ارائه می­گردد. این اطلاعات قابل ارائه به تولیدکنندگان عمده آنتی ویروس می­باشد و از این پس اجزای این بدافزار می­تواند مورد شناسایی آنتی ویروس­ها قرار گیرد.

علائم آلودگی و جزئیات اجزای تشکیل دهنده بدافزار

وجود هریک از این نشانه ها بیانگر آلودگی سیستم به بدافزار flame است: ردیف نوع علائم آدرس 1 وجود کلید رجیستری HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\Authentication Packages -> mssecmgr.ocx 2 فایل­های اجرایی و تنظیمات آلودگی windows\system32\mssecmgr.ocx Windows\System32\ccalc32.sys Windows\System32\msglu32.ocx Windows\System32\boot32drv.sys Windows\System32\nteps32.ocx Windows\System32\advnetcfg.ocx Windows\System32\soapr32.ocx Windows\System32\to961.tmp Windows\ EF_trace.log

دانلود فایل پاکسازی ویروس فوق خطرناک شعلعه (Flame)