بدافزاري كه به وزارت نفت حمله كرد سرانجام شناساسي شد

بعد از 1 ماه از حمله بدافزار به وزارت نفت و شركتهاي اصلي تابعه مركز ماهر اطلاعات بيشتري را راجع به آن منتشر كرد و گويا نمونه آن را نيز به شركتهاي ضدويروس ارسال كرده است كه باعث ايجاد موج جديدي از نگراني و تحليل در مورد اين بدافزار و استفاده از آن به عنوان يك سلاح سايبري گرديده است.

شركت سيمانتك در بررسي اوليه خود روي اين بد افزار (كه از اين به بعد با نام W32.Flamer شناسايي خواهد گرديد) اطلاعات جالبي را منتشر كرده است كه مي توانيد از اين آدرس آنها را مشاهده نماييد.

در حال حاضر اطلاعات منتشر شده نادقيق و اوليه بوده و با توجه به حجم بسيار بزرگ اين بد افزار (حدود 20 مگابايت!) مي بايست منتظر تحليلها در ماههاي آينده باشيم. (توجه داشته باشيد كه Stuxnet با حجم حدود 500 كيلوبايت حدود 4 ماه تحليلش زمان برد). حدثهاي اوليه در مورد اين بدافزار يك ابزار جاسوسي تمام عيار است كه شبيه آن را در فيلمهاي هاليوودي ديده ايم.

متاسفانه اخبار نادقيقي در رسانه ها در مورد اين بدافزار منتشر شده از جمله اينكه "از سال 2010 اين را كشف كرده اند" و "حمله آن خنثي شده است" كه همگي آنها به اين شكل نادرست مي باشد. اين بدافزار مدتهاي مديدي است كه مشغول به فعاليت جاسوسي خود مي باشد ولي هيچ كدام از آنتي ويروس موفق به شناسايي آن تاكنون نگرديده بودند اما اكنون با پيدا شدن فايلهاي آن و مراجعه شركتهاي آنتي ويروس به پايگاه اطلاعاتي فايلهاي خود مي توانند زمان تقريبي فعاليت بدافزار را تخمين بزنند.

------ بروز رساني در 10/3/91 -------

براي تشخيص آلوده بودن كامپيوتر خود به اين بدافزار مي توانيد از اين روش استفاده كنيد:

1) در صورت وجود كليد رجيستري :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\"Authentication Packages"

و تنظيم بودن مقدار آن روي : "mssecmgr.ocx"

2) در صورت وجود سرويس ويندوزي تحت نام : "Windows Management Instrumentation configurator "

3) در صورت حضور هر كدام از فايلهاي: 

  • advnetcfg.ocx
  • ccalc32.sys
  • mssecmgr.sys
  • msglu32.ocx
  • boot32drv.sys
  • nteps32.ocx

در پوشه system32

البته با توجه به ناشناخته بودن ابعاد عمليات اين بدافزار در حال حاضر ممكن است امكانات مخفي سازي (rootkit) نيز در اين نرم افزار موجود باشد كه امكان رديابي بعضي يا همه موارد فوق را به شما ندهد. بهترين كار چك كردن موارد فوق براي كامپيوترهاي مشكوك در محيط Windows PE (مثل CD هاي bootable با نامهاي Hiren و MiniPE و ERD Commander و ...) مي باشد

براي دريافت راهكار مقابله با اين بدافزار با بخش فني شركت تماس بگيريد.

منتظر خبرهاي تكميلي در همين مورد باشيد 

تاريخ: چهارشنبه 10 خرداد 1391  ساعت: 09:23

پشتيباني مشتريان

دريافت نرم‌افزار

نظرسنجي

از چه ديواره آتشي استفاده مي‌كنيد؟
Cisco PIX

Netscreen

Watchguard

Packet Alarm