مطابق گزارش شرکت امنیتی سیمانتک، طراحان بدافزار Flamer در روزهای اخیر از طریق تعدادی از Serverهای کنترل کننده این ویروس (C&C Servers) فرمانهای جدیدی را برای سیستمهای آلوده شده ارسال کردهاند. این فرمانها در واقع دستور خودکشی به بدافزار Flamer است و باعث میشود که این بدافزار خودش را از روی سیستمهای آلوده Uninstall کند!
ویروس Flamer قابلیت ارتباط با تعداد زیادی Server کنترل کننده را دارا بوده است. پس از شناسایی ویروس، طراحان آن بسیاری از این Domainها و Serverها را غیرفعال کردهاند.
اما تعداد اندکی از C&C Serverها همچنان برای برقراری ارتباط با بخش خاصی از سیستمهای آلوده فعال هستند تا مهاجمان اجازه داشته باشند C&C Serverهای جدید و ناشناختهای را برای پروژه خود تعریف کنند و به عملیات سایبری خود به روشهای دیگری ادامه دهند.
سیستمهای آلوده شده طبق تنظیمات از قبل تعریف شدهای با C&C Serverها ارتباط برقرار میکنند تا فرمانهای جدید مهاجمان را دریافت کنند.
پس از برقراری ارتباط، C&C Server یک فایل بانام browse32.ocx برای کامپیوتر قربانی ارسال میکند. این فایل شامل فرمانهای جدیدی است که ویروس باید آن را به اجرا درآورد.
یکی از فرمانهایی که اخیرا ارسال شده است فرمان خودکشی ویروس(Uninstaller Command) است.
ویروس برای خودکشی خود لیستی طولانی از فایلها و Folderهای مختلف را حذف میکند و سپس با استفاده از کاراکترهای تصادفی آنها را(OverWrite) رونویسی میکند تا فایلهای متعلق به ویروس به هیچ وجه و با هیچ ابزاری قابل بازیابی نباشند.
لیست فایلها و Folderهایی که توسط ماژول خودکشی ویروس Flamer حذف میشوند به این شرح است:
Deleted files
•%ProgramFiles%Common FilesMicrosoft SharedMSAudioaudcache
•%ProgramFiles%Common FilesMicrosoft SharedMSAudioaudfilter.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiodstrlog.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiodstrlogh.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiom۳aaux.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiom۳afilter.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiom۳asound.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiom۴aaux.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiom۴afilter.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiom۴asound.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiom۵aaux.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiom۵afilter.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiom۵asound.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiomlcache.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiompgaaux.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiompgaud.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSAudioqpgaaux.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiosrcache.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiowavesup۳.drv
•%ProgramFiles%Common FilesMicrosoft SharedMSAudiowpgfilter.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSAuthCtrlauthcfg.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSAuthCtrlctrllist.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSAuthCtrllmcache.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSAuthCtrl
tcache.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSAuthCtrlposttab.bin
•%ProgramFiles%Common FilesMicrosoft SharedMSAuthCtrlsecindex.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSAuthCtrl okencpt
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrdmmsap.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrdomm.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrdomm۲.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrdomm۳.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrdommt.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrdstrlog.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrdstrlogh.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrlmcache.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrLncache.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrltcache.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrmscorest.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrmscrol.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrmscrypt.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrmspovst.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrmsrovst.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrmsrsysv.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrmsvolrst.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgr
t۲cache.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgr
tcache.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgr
ccache.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgr
dcache.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgr
mcache.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrssitable
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrsyscache.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgrsyscache۳.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSSndMixaudtable.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSSndMixfmpidx.bin
•%ProgramFiles%Common FilesMicrosoft SharedMSSndMixlmcache.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSSndMixlrlogic
•%ProgramFiles%Common FilesMicrosoft SharedMSSndMixmixercfg.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSSndMixmixerdef.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSSndMix
tcache.dat
•%ProgramFiles%Common FilesMicrosoft SharedMSSndMixsndmix.drv
•%SystemDrive%system۳۲msglu۳۲.ocx
•%SystemDrive%Temp~۸C۵FF۶C.tmp
•%Temp%~*
•%Temp%~a۲۸.tmp
•%Temp%~a۳۸.tmp
•%Temp%~DF۰۵AC۸.tmp
•%Temp%~DFD۸۵D۳.tmp
•%Temp%~DFL۵۴۲.tmp
•%Temp%~DFL۵۴۳.tmp
•%Temp%~DFL۵۴۴.tmp
•%Temp%~DFL۵۴۵.tmp
•%Temp%~DFL۵۴۶.tmp
•%Temp%~dra۵۱.tmp
•%Temp%~dra۵۲.tmp
•%Temp%~dra۵۳.tmp
•%Temp%~dra۶۱.tmp
•%Temp%~dra۷۳.tmp
•%Temp%~fghz.tmp
•%Temp%~HLV۰۸۴.tmp
•%Temp%~HLV۲۹۴.tmp
•%Temp%~HLV۴۷۳.tmp
•%Temp%~HLV۷۵۱.tmp
•%Temp%~HLV۹۲۷.tmp
•%Temp%~KWI۹۸۸.tmp
•%Temp%~KWI۹۸۹.tmp
•%Temp%~mso۲a۰.tmp
•%Temp%~mso۲a۱.tmp
•%Temp%~mso۲a۲.tmp
•%Temp%~rei۵۲۴.tmp
•%Temp%~rei۵۲۵.tmp
•%Temp%~rf۲۸۸.tmp
•%Temp%~rft۳۷۴.tmp
•%Temp%~TFL۸۴۸.tmp
•%Temp%~TFL۸۴۹.tmp
•%Temp%~ZFF۰۴۲.tmp
•%Temp%comspol۳۲.ocx
•%Temp%GRb۹M۲.bat
•%Temp%indsvc۳۲.ocx
•%Temp%scaud۳۲.exe
•%Temp%scsec۳۲.exe
•%Temp%sdclt۳۲.exe
•%Temp%sstab.dat
•%Temp%sstab۱۵.dat
•%Temp%winrt۳۲.dll
•%Temp%winrt۳۲.ocx
•%Temp%wpab۳۲.bat
•%Temp%wpab۳۲.bat
•%Windir%Ef_trace.log
•%Windir%PrefetchLayout.ini
•%Windir%PrefetchNTOSBOOT-B۰۰DFAAD.pf
•%Windir%
epairdefault
•%Windir%
epairsam
•%Windir%
epairsecurity
•%Windir%
epairsoftware
•%Windir%
epairsystem
•%Windir%system۳۲advnetcfg.ocx
•%Windir%system۳۲advpck.dat
•%Windir%system۳۲aud*
•%Windir%system۳۲authpack.ocx
•%Windir%system۳۲oot۳۲drv.sys
•%Windir%system۳۲ccalc۳۲.sys
•%Windir%system۳۲commgr۳۲.dll
•%Windir%system۳۲comspol۳۲.dll
•%Windir%system۳۲comspol۳۲.ocx
•%Windir%system۳۲configdefault.sav
•%Windir%system۳۲configsam.sav
•%Windir%system۳۲configsecurity.sav
•%Windir%system۳۲configsoftware.sav
•%Windir%system۳۲configsystem.sav
•%Windir%system۳۲configuserdiff.sav
•%Windir%system۳۲ctrllist.dat
•%Windir%system۳۲indsvc۳۲.dll
•%Windir%system۳۲indsvc۳۲.ocx
•%Windir%system۳۲lrl*
•%Windir%system۳۲modevga.com
•%Windir%system۳۲mssecmgr.ocx
•%Windir%system۳۲mssui.drv
•%Windir%system۳۲mssvc۳۲.ocx
•%Windir%system۳۲
taps.dat
•%Windir%system۳۲
teps۳۲.ocx
•%Windir%system۳۲pcldrvx.ocx
•%Windir%system۳۲
pcnc.dat
•%Windir%system۳۲scaud۳۲.exe
•%Windir%system۳۲sdclt۳۲.exe
•%Windir%system۳۲soapr۳۲.ocx
•%Windir%system۳۲ssi*
•%Windir%system۳۲sstab.dat
•%Windir%system۳۲sstab۰.dat
•%Windir%system۳۲sstab۱.dat
•%Windir%system۳۲sstab۱۰.dat
•%Windir%system۳۲sstab۱۱.dat
•%Windir%system۳۲sstab۱۲.dat
•%Windir%system۳۲sstab۲.dat
•%Windir%system۳۲sstab۳.dat
•%Windir%system۳۲sstab۴.dat
•%Windir%system۳۲sstab۵.dat
•%Windir%system۳۲sstab۶.dat
•%Windir%system۳۲sstab۷.dat
•%Windir%system۳۲sstab۸.dat
•%Windir%system۳۲sstab۹.dat
•%Windir%system۳۲ ok*
•%Windir%system۳۲watchxb.sys
•%Windir%system۳۲winconf۳۲.ocx
Deleted folders
•%ProgramFiles%Common FilesMicrosoft SharedMSAudio
•%ProgramFiles%Common FilesMicrosoft SharedMSAuthCtrl
•%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgr
•%ProgramFiles%Common FilesMicrosoft SharedMSSndMix
تمام سیستمهای آلودهای که فرمان خودکشی را دریافت کردهاند ویروس Flamer از روی آنها بطور کامل حذف شده است و دیگر هیچ اثری از آن دیده نمیشود.
همانگونه که پیشتر گفته شد ویروس Flamer دارای ساختاری ماژولار است.
در تحلیلهای گذشته مشخص شده بود که یک ماژول بنام SUICIDE (که بسیار شبیه Browse32.ocx است) در بدافزار استفاده شده است که کار آن خودکشی ویروس بوده است. اما در ارسال فرمان خودکشی اخیر مهاجمان از آن استفاده نکردهاند.
هنوز انگیزه مهاجمان از عدم استفاده از این ماژول آماده، مشخص نیست.
به نظر میرسد انگیزه اصلی مهاجمان از حذف ویروس از سیستمهای آلوده، سعی در پنهان نگه داشتن زوایای ناشناخته عملکرد این ویروس بوده است و دور از ذهن نیست که مهاجمان پس از این عقبنشینی، درصدد حمله مجددی باشند.
جهت کسب اطلاعات بیشتر و نیز توصیههای فنی، میتوانید به سایت شرکت آینده نگاران (نماینده سیمانتک) مراجعه نمایید
نظرات شما عزیزان: