اطلاعات فنی ویروس Flame: توابع و روال ها
همانطور که همه کارشناسان و صاحب نظران در چند روز گذشته مطرح کرده اند، ویروس Flame بسیار پیچیده است و تجزیه و تحلیل آن بسیار زمانبر خواهد بود.
در قدم اول، برنامه اصلی ویروس Decompile شده و یک برنامه (Source) حاوی بیش از 650 هزار سطر برنامه به زبان C به دست آمده است.
تصویر زیر نحوه ارتباط بخش های مختلف برنامه اصلی ویروس Flame را نشان می دهد. البته این فقط قسمت کوچکی از برنامه است که مورد تجزیه وتحلیل قرار گرفته.
تلاشی که در مبهم ساختن برنامه بکار رفته، واقعاً چشمگیر است و تا به حدی است که به آسانی نمی توان عملکرد بخش های اجرایی را دنبال کرد. در ضمن امکان جداسازی بخش های اجرایی و استفاده مستقل از آن توسط افراد دیگر در برنامه های خود، بسیار دشوار و تقریباً غیر ممکن خواهد بود. بدین ترتیب، امکان کپی برداری از ویروس Flame تقریبا محال است.
ویروس Flame تمام توابع، نظیر توابع رمزگذاری و تمام کتابخانه های مورد نیاز، نظیر SSH و ZLib را به همراه خود دارد.
بسیاری از توابع ویروس Flame به منظور جمع آوری اطلاعات نوشته شده اند. این توابع قادر به انجام عملیات زیر می باشند:
– پردازش و تحلیل فایل های Zip
– پردازش و تحلیل فایل های PDF و Office
– اطلاع از فایل های موجود بر روی Desktop
– انتشار در یک Domain
– ارسال اطلاعات جمع آوری شده به مرکز فرماندهی
– ایجاد ارتباط با دستگاه های موبایل و جمع آوری اطلاعات از بخش Contacts این دستگاه ها از طریق فناوری Bluetooth و یا در هنگام وصل شدن دستگاه موبایل به کامپیوتر آلوده
روال (routine)هایی که تابحال در ویروس Flame شناسائی شده اند، عبارتند از:
– FLAME برای آلوده ساختن با استفاده از روش Autorun
– WEASEL پردازش و تحلیل دیسک ها
– JIMMY پردازش و تحلیل انواع فایل ها
– TELEMEIRY گزارش دهی به مرکز فرماندهی
– SUICIDE خودکشی و نابودی ویروس
– EUPHORIA سوء استفاده از حفره های امنیتی
– BEETLEJUICE ارتباط و شنود ترافیک Bluetooth
– BUNNY عملیات جستجو
– FROG سرقت کلمات رمز و عبور
– AUDITION توقف پروسه ها، به ویژه پروسه های امنیتی
– GATOR ارتباط با مرکز فرماندهی و کنترل
– MICROBE ضبط صدا از طریق میکروفن
– MUNCH عملیات کنترل شبکه مانند Sniffing
– VIPER تصویربرداری از صفحه نمایشگر
این اطلاعات تنها بخش کوچکی از ظرفیت و توانایی های ویروس Flame را نشان می دهد. یقیناً اطلاعات بیشتر و مهمتری در این ویروس نهفته است که نیازمند زمان بسیار بیشتری برای کشف آن است.
در بین کارشناسان امنیتی، به کار تجزیه وتحلیل ویروس ها، به شوخی “مسابقه 100 متر” گفته می شود. بدین معنی که چاپ برنامه ویروس بیش از 100 متر کاغذ مصرف می کند و بررسی آن هم باید با سرعت انجام شود. اکنون با ظهور ویروس Flame، این کار بیشتر شبیه “مسابقه ماراتن” شده است که به این زودی ها، خط پایان در دیدرس نیست !
