شركت سيمانتك در بررسي اوليه خود روي اين بد افزار (كه از اين به بعد با نام W32.Flamer شناسايي خواهد گرديد) اطلاعات جالبي را منتشر كرده است كه مي توانيد از اين آدرس آنها را مشاهده نماييد.
در حال حاضر اطلاعات منتشر شده نادقيق و اوليه بوده و با توجه به حجم بسيار بزرگ اين بد افزار (حدود 20 مگابايت!) مي بايست منتظر تحليلها در ماههاي آينده باشيم. (توجه داشته باشيد كه Stuxnet با حجم حدود 500 كيلوبايت حدود 4 ماه تحليلش زمان برد). حدثهاي اوليه در مورد اين بدافزار يك ابزار جاسوسي تمام عيار است كه شبيه آن را در فيلمهاي هاليوودي ديده ايم.
متاسفانه اخبار نادقيقي در رسانه ها در مورد اين بدافزار منتشر شده از جمله اينكه "از سال 2010 اين را كشف كرده اند" و "حمله آن خنثي شده است" كه همگي آنها به اين شكل نادرست مي باشد. اين بدافزار مدتهاي مديدي است كه مشغول به فعاليت جاسوسي خود مي باشد ولي هيچ كدام از آنتي ويروس موفق به شناسايي آن تاكنون نگرديده بودند اما اكنون با پيدا شدن فايلهاي آن و مراجعه شركتهاي آنتي ويروس به پايگاه اطلاعاتي فايلهاي خود مي توانند زمان تقريبي فعاليت بدافزار را تخمين بزنند.
------ بروز رساني در 10/3/91 -------
براي تشخيص آلوده بودن كامپيوتر خود به اين بدافزار مي توانيد از اين روش استفاده كنيد:
1) در صورت وجود كليد رجيستري :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\"Authentication Packages"
و تنظيم بودن مقدار آن روي : "mssecmgr.ocx"
2) در صورت وجود سرويس ويندوزي تحت نام : "Windows Management Instrumentation configurator "
3) در صورت حضور هر كدام از فايلهاي:
- advnetcfg.ocx
- ccalc32.sys
- mssecmgr.sys
- msglu32.ocx
- boot32drv.sys
- nteps32.ocx
در پوشه system32
البته با توجه به ناشناخته بودن ابعاد عمليات اين بدافزار در حال حاضر ممكن است امكانات مخفي سازي (rootkit) نيز در اين نرم افزار موجود باشد كه امكان رديابي بعضي يا همه موارد فوق را به شما ندهد. بهترين كار چك كردن موارد فوق براي كامپيوترهاي مشكوك در محيط Windows PE (مثل CD هاي bootable با نامهاي Hiren و MiniPE و ERD Commander و ...) مي باشد
براي دريافت راهكار مقابله با اين بدافزار با بخش فني شركت تماس بگيريد.
منتظر خبرهاي تكميلي در همين مورد باشيد
