Wiper: ویروسی که در دام نیفتاد
در اوایل سال جاری که خبرهای مختلفی از پاک شدن اطلاعات از روی دیسک های سخت منتشر شد، نام ویروس Wiper بر سر زبان ها افتاد. ویروسی که یا اصلاً وجود خارجی نداشت و یا آنچنان با مهارت ردپا و آثار خود را از روی دیسک ها پاک می کرد، که هیچگاه نمونه و یا اثری از آن به دست نمی آمد. ولی هیاهو و حساسیتی که ویروس Wiper ایجاد کرد، در نهایت منجر به کشف و شناسایی ویروس مشهور Flame شد.
برخی از کارشناسان امنیتی همچنان معتقد هستند که ویروس Wiper همان ویروس Flame هست و به همین دلیل هم هیچ اثر و نشانه مستقل و مجزایی درباره Wiper به دست نیامده تا بتوان وجود قطعی آن را ثابت کرد. از سوی دیگر برخی کارشناسان، از جمله کارشناسان شرک Kaspersky پس از ماه ها بررسی و تحقیق، اکنون یقین دارند که Wiper ویروس مستقلی است که احتمالاً هیچ ارتباطی با ویروس Flame ندارد ولی شواهد جدید نشان می دهد که ویروس Wiper به نوعی با دو ویروس مشهور Stuxnet و Duqu ارتباط داشته است.
با بررسی چندین دیسک سخت که اطلاعات آنها به یکباره و بدون دلیل خاصی، پاک و حذف شده بودند، تقریباً به طور یقین می توان گفت که اتفاق مشابه و یکسانی بر روی این دیسک ها رخ داده که باعث پاک شدن اطلاعات شده است. در برخی گزارش ها که مربوط به پاییز و زمستان سال گذشته (1390) می شوند نیز اطلاعات و جزئیات مشابهی دیده می شود.
نویسنده ویروس Wiper بسیار مراقب بوده که هیچ اطلاعاتی از خود بر روی سیستم هایی که به آنها صدمه می زند، باقی نگذارد. با این حال بر روی برخی از این سیستم ها، فایل های مرتبط با Registry به دست آمده است که شاید ردپایی از ویروس Wiper را نشان دهند. گرچه این فایل ها عاری از هر گونه برنامه و دستور مخرب و تهدید آمیز هستند، ولی اطلاعات و دستوراتی که از این فایل ها حذف شده اند، می تواند در شناسایی رفتارهای Wiper کمک کند. بررسی چند نمونه از فایل های Registry Hive نشان داده که در همه آنها، به یک فایل اشاره شده که نام آن عیناً مشابه نام فایلی است که در ویروس Duqu وجود دارد. در تمام نمونه های Registry Hive نیز سرویسی به نام RAHDAUD64 وجود داشته که قبل از حذف کامل اطلاعات و دیسک سخت، پاک شده و محتوای فایل مرتبط با این سرویس نیز با اطلاعات بی ارزش جایگزین شده است.
همچنین مشخص شده که ویروس Wiper فایل های خاصی را از بین می برده که توسط ویروس های Stuxnet و Duqu مورد استفاده قرا رمی گرفتند. ویروس Wiper فایل هایی با قالب PNF را که در شاخه INI سیستم عامل Windows هستند، در اولویت قرار می داده و این فایل ها را زودتر از بقیه فایلها حذف می کرده. جالب است که ویروس Stuxnet و Duqu برنامه اصلی ویروس را در فایل هایی از نوع PNF به صورت رمزگذاری شده، نگهداری می کردند.
گر چه اکنون کارشناسانی نظیر کارشناس ضد ویروس Kaspersky مطمئن هستند که ویروس مستقلی به نام Wiper وجود داشته و در ابتدای سال جاری فعالیت می کرده ولی هنوز هم نمونه و اثری از آن به دست نیامده و فعالیت Wiper نیز مدتهاست که متوقف گردیده و آلودگی جدیدی ایجاد نشده تا بتوان تحقیقات بیشتر و جدیدتری را انجام داد.
