آزمایشگاه ایمن تحلیل خود از بدافزار فلیم را منتشر کرد
 
درباره وبلاگ


به وبلاگ ما خوش آمدید
IT ENGINEERING

 

آزمایشگاه ایمن تحلیل خود از بدافزار فلیم را منتشر کرد



آزمایشگاه ضدبدافزار ایمن، تحلیل خود در باره بدافزار فلیم(شعله) را منتشر نمود. 
متن کامل گزارش رسیده به ایتنا به شرح زیر است. 


بعد از حمله سایبری به شرکت نفت آزمایشگاه ضدبدافزار ایمن که نخستین آزمایشگاه ضد بدافزار ایرانی می‌باشد خود را موظف دانست تا همانند حملاتی همچون استاکس نت باز به دنبال راههای شناخت و مقابله با این بدافزار باشد. 
می‌توان ویروس شعله را در میان بدافزارها و جاسوس‌افزارها یکی از خطرناک‌ترین ومخربترین نوع بدافزار دانست، در یک نگاه می‌توان مدعی بود که این ویروس بسیار پیشرفته‌تر از Stuxnet و DuQu است، ساختار ماژولار و انعطاف پذیر و بسیار پیچیده و رمزگذاری شده به گونه‌ایست که امکان دیباگ و مهندسی معکوس کردن را بسیار دشوار و یا حتی غیرممکن می‌سازد، این ویروس ظاهرا هر اقدامی را برای مهاجمان فراهم می‌سازد. 

جمع آوری اطلاعات و فرستادن آنها ، نفوذ در شبکه‌های بزرگ (گاها صنعتی و مهم) ، از بین بردن اطلاعات سیستم آلوده، قدرت جست‌وجو، تحلیل و پردازش گونه‌ای خاص از فایل‌ها، از کار انداختن آنتی‌ویروس‌ها، امکان ارتباط و ارسال گزارش با مرکز فرماندهی خود و ... اینها تنها بخشی از قابلیت‌های ویروس شعله است. 
در این گزارش بیشتر مواردی را مورد بررسی قرار میدهیم که از دید کثیری از تحلیلگران پنهان مانده است. 

با بررسی ویروس شعله میتوان بیان کرد که این ویروس از طریق فلش دیسک انتشار پیدا می‌کند و همچنین قابلیت منتشر شدن در سطح شبکه را نیز داراست، ویروس شعله برای آلوده ساختن از قابلیت Autorun ویندوز بهره می‌برد. 
نکته جالب توجه در بررسی ویروس شعله این بود که این بدافزار برای بدست آوردن اطلاعات در مورد قابلیت‌های پهنای باند در فهرست وب سایت‌های خود از سه وب سایت ایرانی استفاده کرده است، که تاکید بر آن دارد، ایران یکی از اهداف اصلی ویروس شعله بوده است. 

طیف وسیعی از اطلاعات ثبت شده توسط ویروس شعله عبارت است: 

اطلاعات عمومی سیستم : 
local time 
List of volumes,their serial number and FileSystem name 
OS Version,Servise Pack Number 
Computer Name 
the list of running processes 
a list of user-mode services and their state 
a list of application form %AppData% 
Internet Explorer,Microsoft Outlook and Microsoft Word versions 
CodePage of the system (can be used for localization) 
entries form %Program Files% directory 
Time Zone Information 

اطلاعات مربوط به شبکه : 
information about Remote Desktop Services and Windows Firewall 
open TCP/UDP Connections 
information about the interface : MAC Address, IP Address, Gateway Address, Primary WINS Server Address, Secondary WINS Server Address, DHCP Server Address, 
statistics about the transferred packest, in the case of WiFi adapters their PNP ID, the name of the adapter, subnet mask 
IP routing information including persistent IP routing tables,IP Fprward Table 
list of DNS servers 
the contents of %windir%system۳۲drivers.etchosts 
the SSIDs stored in registry 
domain information: the domain name to which the computer belongs, user account name, name of computer, group name, the Domain Controller Name 
the local hostname 
Dial-Up information 
Proxy Server list 
the links from "My Network Places" 
cached DNS data table 
the list of visible network share names and their addresses 
names of files opened in Internet Explorer (from the URL cache) 
a list of printers to which the computer is connected 
the POP۳ Server Name and SMTP Mail Address of the accounts used in MS Outlook 
information about disks(name, free space available,...) 
cookies from yahoo.com 
Internet Explorer saved and protected data 

ثبت داده‌های برنامه‌های مختلف در رجیستری : 
Inno Setup 
VNC 
PenguiNet 
RageWork File Manager 
NetServe FTP Client 
Jildi FTP Client 
Cyd FTP Client 
AceFTP ۳ FreeWare 
Intersoft Secure Key Agent 
DameWare Nt Utilities 
Bitkinex ۲.۷ 
SmartFTP 
VanDyke SecureCrt 
Ipswitch WS_FTP 
BulletProof Ftp Client 
CuteFTP 
FTP Explorer 
Robo Ftp 
SoftX.org FTP Client 
Mssh 
Emurasoft EmFTP 
Netx NetserverFtpClient 
Web Drive From South River Technologies 
WinScp۲ (Martin Prikryl) 
TeamViewer 
RADMin 

از سایر ویژگی‌های ویروس شعله میتوان به سوء استفاده از حفره‌های امنیتی، سرقت کلمات رمز و عبور، متوقف کردن پروسه‌های امنیتی ، شناسایی و از كار انداختن بیش از ۱۰۰ نرم‌افزار آنتی‌ویروس، ضد بدافزار، فایروال و ... ، قابلیت اجرا در Windows XP , Vista , ۷ ، پردازش و تحلیل فایل‌هایی با پسوندهای 
*.doc, *.docx, *.xls, *.dwg, *.kml *.ppt, *.csv, *.txt, *.url, *.pub, *.rdp, *.ssh, *.ssh۲, *.vsd, *.ora, *.eml 
تصویربرداری از صفحه نمایشگر ، ضبط صدا و استفاده از آنها برای مقاصد جاسوسی اشاره کرد. این ویروس توانایی از بین بردن خود را نیز دارد. 

لازم به ذکر است که قریب به ۹۰% اطلاعاتی که در محافل خبری معتبر و رسمی در مورد ویروس شعله ارائه شده درست بوده و مورد تائید آزمایشگاه ضد بدافزار ایمن می‌باشد. گرچه برای پی بردن به تمامی اصرار نهفته در این بدافزار نیاز به زمانی به مراتب بیشتر از اینهاست. 
آزمایشگاه ضد بدافزار ایمن این افتخار را دارد که تا کنون دو گونه متفاوت از ویروس شعله را شناسایی و ضد بدافزار خود را بروز نموده است. 

در پایان لازم است به این نکته اشاره شود که استاکس نت ، شعله و ... آخرین تهدیدات و حملات سایبری دشمنان این خاک نخواهند بود، به امید مقابله با چنین تهدیداتی قبل از وقوع اتفاق. 


نظرات شما عزیزان:

نام :
آدرس ایمیل:
وب سایت/بلاگ :
متن پیام:
:) :( ;) :D
;)) :X :? :P
:* =(( :O };-
:B /:) =DD :S
-) :-(( :-| :-))
نظر خصوصی

 کد را وارد نمایید:

 

 

 

عکس شما

آپلود عکس دلخواه:







 
 
نویسندگان
پیوندها
آخرین مطالب