فرمان خودکشی بدافزار فلیم صادر شد
 
درباره وبلاگ


به وبلاگ ما خوش آمدید
موضوعات
آرشيو وبلاگ
پیوندهای روزانه


IT ENGINEERING
فرمان خودکشی بدافزار فلیم صادر شد
21 / 3برچسب:,
:: 16 ::  نويسنده : BlackHats

 

فرمان خودکشی بدافزار فلیم صادر شد



مطابق گزارش شرکت امنیتی سیمانتک، طراحان بدافزار Flamer در روزهای اخیر از طریق تعدادی از Serverهای کنترل کننده این ویروس (C&C Servers) فرمان‌های جدیدی را برای سیستم‌های آلوده شده ارسال کرده‌اند. این فرمان‌ها در واقع دستور خودکشی به بدافزار Flamer است و باعث می‌شود که این بدافزار خودش را از روی سیستم‌های آلوده Uninstall کند!

ویروس Flamer قابلیت ارتباط با تعداد زیادی Server کنترل کننده را دارا بوده است. پس از شناسایی ویروس، طراحان آن بسیاری از این Domainها و Serverها را غیرفعال کرده‌اند.
اما تعداد اندکی از C&C Serverها همچنان برای برقراری ارتباط با بخش خاصی از سیستم‌های آلوده فعال هستند تا مهاجمان اجازه داشته باشند C&C Serverهای جدید و ناشناخته‌ای را برای پروژه خود تعریف کنند و به عملیات سایبری خود به روش‌های دیگری ادامه دهند.

سیستم‌های آلوده شده طبق تنظیمات از قبل تعریف شده‌ای با C&C Serverها ارتباط برقرار می‌کنند تا فرمان‌های جدید مهاجمان را دریافت کنند.
پس از برقراری ارتباط، C&C Server یک فایل بانام browse32.ocx برای کامپیوتر قربانی ارسال می‌کند. این فایل شامل فرمان‌های جدیدی است که ویروس باید آن را به اجرا درآورد.
یکی از فرمان‌هایی که اخیرا ارسال شده است فرمان خودکشی ویروس(Uninstaller Command) است.

ویروس برای خودکشی خود لیستی طولانی از فایل‌ها و Folderهای مختلف را حذف می‌کند و سپس با استفاده از کاراکترهای تصادفی آنها را(OverWrite) رونویسی می‌کند تا فایل‌های متعلق به ویروس به هیچ وجه و با هیچ ابزاری قابل بازیابی نباشند.
لیست فایل‌ها و Folderهایی که توسط ماژول خودکشی ویروس Flamer حذف می‌شوند به این شرح است:

Deleted files 
•%ProgramFiles%Common FilesMicrosoft SharedMSAudioaudcache 
•%ProgramFiles%Common FilesMicrosoft SharedMSAudioaudfilter.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiodstrlog.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiodstrlogh.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiom۳aaux.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiom۳afilter.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiom۳asound.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiom۴aaux.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiom۴afilter.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiom۴asound.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiom۵aaux.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiom۵afilter.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiom۵asound.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiomlcache.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiompgaaux.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiompgaud.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSAudioqpgaaux.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiosrcache.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiowavesup۳.drv 
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiowpgfilter.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSAuthCtrlauthcfg.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSAuthCtrlctrllist.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSAuthCtrllmcache.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSAuthCtrl tcache.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSAuthCtrlposttab.bin 
•%ProgramFiles%Common FilesMicrosoft SharedMSAuthCtrlsecindex.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSAuthCtrl okencpt 
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrdmmsap.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrdomm.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrdomm۲.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrdomm۳.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrdommt.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrdstrlog.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrdstrlogh.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrlmcache.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrLncache.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrltcache.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrmscorest.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrmscrol.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrmscrypt.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrmspovst.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrmsrovst.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrmsrsysv.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrmsvolrst.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgr t۲cache.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgr tcache.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgr ccache.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgr dcache.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgr mcache.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrssitable 
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrsyscache.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrsyscache۳.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSSndMixaudtable.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSSndMixfmpidx.bin 
•%ProgramFiles%Common FilesMicrosoft SharedMSSndMixlmcache.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSSndMixlrlogic 
•%ProgramFiles%Common FilesMicrosoft SharedMSSndMixmixercfg.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSSndMixmixerdef.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSSndMix tcache.dat 
•%ProgramFiles%Common FilesMicrosoft SharedMSSndMixsndmix.drv 
•%SystemDrive%system۳۲msglu۳۲.ocx 
•%SystemDrive%Temp~۸C۵FF۶C.tmp 
•%Temp%~* 
•%Temp%~a۲۸.tmp 
•%Temp%~a۳۸.tmp 
•%Temp%~DF۰۵AC۸.tmp 
•%Temp%~DFD۸۵D۳.tmp 
•%Temp%~DFL۵۴۲.tmp 
•%Temp%~DFL۵۴۳.tmp 
•%Temp%~DFL۵۴۴.tmp 
•%Temp%~DFL۵۴۵.tmp 
•%Temp%~DFL۵۴۶.tmp 
•%Temp%~dra۵۱.tmp 
•%Temp%~dra۵۲.tmp 
•%Temp%~dra۵۳.tmp 
•%Temp%~dra۶۱.tmp 
•%Temp%~dra۷۳.tmp 
•%Temp%~fghz.tmp 
•%Temp%~HLV۰۸۴.tmp 
•%Temp%~HLV۲۹۴.tmp 
•%Temp%~HLV۴۷۳.tmp 
•%Temp%~HLV۷۵۱.tmp 
•%Temp%~HLV۹۲۷.tmp 
•%Temp%~KWI۹۸۸.tmp 
•%Temp%~KWI۹۸۹.tmp 
•%Temp%~mso۲a۰.tmp 
•%Temp%~mso۲a۱.tmp 
•%Temp%~mso۲a۲.tmp 
•%Temp%~rei۵۲۴.tmp 
•%Temp%~rei۵۲۵.tmp 
•%Temp%~rf۲۸۸.tmp 
•%Temp%~rft۳۷۴.tmp 
•%Temp%~TFL۸۴۸.tmp 
•%Temp%~TFL۸۴۹.tmp 
•%Temp%~ZFF۰۴۲.tmp 
•%Temp%comspol۳۲.ocx 
•%Temp%GRb۹M۲.bat 
•%Temp%indsvc۳۲.ocx 
•%Temp%scaud۳۲.exe 
•%Temp%scsec۳۲.exe 
•%Temp%sdclt۳۲.exe 
•%Temp%sstab.dat 
•%Temp%sstab۱۵.dat 
•%Temp%winrt۳۲.dll 
•%Temp%winrt۳۲.ocx 
•%Temp%wpab۳۲.bat 
•%Temp%wpab۳۲.bat 
•%Windir%Ef_trace.log 
•%Windir%PrefetchLayout.ini 
•%Windir%PrefetchNTOSBOOT-B۰۰DFAAD.pf 
•%Windir% epairdefault 
•%Windir% epairsam 
•%Windir% epairsecurity 
•%Windir% epairsoftware 
•%Windir% epairsystem 
•%Windir%system۳۲advnetcfg.ocx 
•%Windir%system۳۲advpck.dat 
•%Windir%system۳۲aud* 
•%Windir%system۳۲authpack.ocx 
•%Windir%system۳۲oot۳۲drv.sys 
•%Windir%system۳۲ccalc۳۲.sys 
•%Windir%system۳۲commgr۳۲.dll 
•%Windir%system۳۲comspol۳۲.dll 
•%Windir%system۳۲comspol۳۲.ocx 
•%Windir%system۳۲configdefault.sav 
•%Windir%system۳۲configsam.sav 
•%Windir%system۳۲configsecurity.sav 
•%Windir%system۳۲configsoftware.sav 
•%Windir%system۳۲configsystem.sav 
•%Windir%system۳۲configuserdiff.sav 
•%Windir%system۳۲ctrllist.dat 
•%Windir%system۳۲indsvc۳۲.dll 
•%Windir%system۳۲indsvc۳۲.ocx 
•%Windir%system۳۲lrl* 
•%Windir%system۳۲modevga.com 
•%Windir%system۳۲mssecmgr.ocx 
•%Windir%system۳۲mssui.drv 
•%Windir%system۳۲mssvc۳۲.ocx 
•%Windir%system۳۲ taps.dat 
•%Windir%system۳۲ teps۳۲.ocx 
•%Windir%system۳۲pcldrvx.ocx 
•%Windir%system۳۲ pcnc.dat 
•%Windir%system۳۲scaud۳۲.exe 
•%Windir%system۳۲sdclt۳۲.exe 
•%Windir%system۳۲soapr۳۲.ocx 
•%Windir%system۳۲ssi* 
•%Windir%system۳۲sstab.dat 
•%Windir%system۳۲sstab۰.dat 
•%Windir%system۳۲sstab۱.dat 
•%Windir%system۳۲sstab۱۰.dat 
•%Windir%system۳۲sstab۱۱.dat 
•%Windir%system۳۲sstab۱۲.dat 
•%Windir%system۳۲sstab۲.dat 
•%Windir%system۳۲sstab۳.dat 
•%Windir%system۳۲sstab۴.dat 
•%Windir%system۳۲sstab۵.dat 
•%Windir%system۳۲sstab۶.dat 
•%Windir%system۳۲sstab۷.dat 
•%Windir%system۳۲sstab۸.dat 
•%Windir%system۳۲sstab۹.dat 
•%Windir%system۳۲ ok* 
•%Windir%system۳۲watchxb.sys 
•%Windir%system۳۲winconf۳۲.ocx 

Deleted folders 
•%ProgramFiles%Common FilesMicrosoft SharedMSAudio 
•%ProgramFiles%Common FilesMicrosoft SharedMSAuthCtrl 
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgr 
•%ProgramFiles%Common FilesMicrosoft SharedMSSndMix 

تمام سیستم‌های آلوده‌ای که فرمان خودکشی را دریافت کرده‌اند ویروس Flamer از روی آنها بطور کامل حذف شده است و دیگر هیچ اثری از آن دیده نمی‌شود.

همانگونه که پیشتر گفته شد ویروس Flamer دارای ساختاری ماژولار است.
در تحلیل‌های گذشته مشخص شده بود که یک ماژول بنام SUICIDE (که بسیار شبیه Browse32.ocx است) در بدافزار استفاده شده است که کار آن خودکشی ویروس بوده است. اما در ارسال فرمان خودکشی اخیر مهاجمان از آن استفاده نکرده‌اند.
هنوز انگیزه مهاجمان از عدم استفاده از این ماژول آماده، مشخص نیست.

به نظر می‌رسد انگیزه اصلی مهاجمان از حذف ویروس از سیستم‌های آلوده، سعی در پنهان نگه داشتن زوایای ناشناخته عملکرد این ویروس بوده است و دور از ذهن نیست که مهاجمان پس از این عقب‌نشینی، درصدد حمله مجددی باشند.

جهت کسب اطلاعات بیشتر و نیز توصیه‌های فنی، می‌توانید به سایت شرکت آینده نگاران (نماینده سیمانتک) مراجعه نمایید


نظرات شما عزیزان:

نام :
آدرس ایمیل:
وب سایت/بلاگ :
متن پیام:
:) :( ;) :D
;)) :X :? :P
:* =(( :O };-
:B /:) =DD :S
-) :-(( :-| :-))
نظر خصوصی

 کد را وارد نمایید:

 

 

 

عکس شما

آپلود عکس دلخواه:







 
 
نویسندگان
پیوندها
آخرین مطالب