ویروس Flame در نقش Windows Update

پس از آنکه اواسط هفته گذشته، شرکت مایکروسافت با انتشار اصلاحیه فوق العاده ای سه گواهینامه دیجیتالی خود را که مورد سوء استفاده ویروس Flame قرار گرفته بودند، ابطال کرد، شرکت های ضد ویروس که همچنان در حال بررسی این ویروس پیچیده بودند، توانستند با کنار هم گذاشتن اطلاعات جدید، اسرار بیشتری از ویروس Flame را کشف کنند.

اکنون آشکار شده است که ویروس Flame از گواهینامه هایی که بطور غیر مجاز به دست آورده، برای تایید هویت و اصالت فایل های آلوده به عنوان فایل های متعلق به شرکت مایکروسافت، سوء استفاده کرده است. ویروس Flame این فایل های آلوده را که در ظاهر فایل های به روز رسانی مایکروسافت هستند، به کامپیوترهای سالم در شبکه ارسال می کرده تا از این طریق، بدون جلب توجه و شناسایی شدن توسط ابزارهای امنیتی، منتشر شود.

بدین روش، ویروس Flame قادر بود حتی کامپیوترهای سالمی را که تمام اصلاحیه های امنیتی بر روی آنها نصب شده بود، آلوده کند. تمام سیستم های عامل Windows از Win XP قدیمی گرفته تا Win 7 جدید، در معرض آلودگی بودند.

نحوه آلوده سازی ویروس Flame شامل چندین مرحله عملیات پیچیده بود که توسط بخش های مختلف ویروس با نام های Snack، Munch و Gadget انجام می شد.

یک کامپیوتر آلوده به ویروس Flame، قادر بود که ترافیک شبکه محلی را کنترل کند و مشخصات NetBIOS شبکه را که کامپیوترها را مشخص می کند، به دست آورد. سپس درخواست های به روز رسانی سیستم عامل را که توسط مرورگر این کامپیوترها ارسال می شد، شناسایی می کرد. در این مرحله، با ایفای نقش سرور Web Proxy Auto-Discovery Protocol) WPAD) که تنظیمات پروکسی را در اختیار مرورگرها قرار می دهد، تمام ترافیک Web کامپیوتر قربانی را به کامپیوتر آلوده به ویروس Flame هدایت می نمود. سپس با ایفای نقش یک سرور Web، به درخواست های به روز رسانی سیستم عامل، پاسخ داده و فایلی حاوی یک برنامه مخرب از نوع “دریافت کننده ها” (downloader) را بعنوان فایل Windows Update به کامپیوتر قربانی ارسال می کرد.

پس از اجرای فایل و نصب برنامه مخرب “دریافت کننده”، فایل های اصلی ویروس Flame از کامپیوتر آلوده دریافت و بر روی کامپیوتر قربانی قرار می گرفت.

باید توجه داشت که تنها کامپیوترهایی که گزینه Proxy Setting آنهادر حالت Automatic است، بدین روش، در معرض خطر به ویروس Flame قرار دارند.

اکنون شرکت مایکروسافت برای جلوگیری از این روش آلودگی توسط ویروس Flame که احتمالاً به زودی توسط ویروس نویسان دیگر هم شبیه سازی خواهد شد، اعلام کرده است. سیستم به روز رسانی Windows Update را که توسط کاربران عادی استفاده می شود و سیستم به روز رسانی WSUS را که توسط موسسات و شرکت ها برای به روز رسانی محصولات مایکروسافت در سطح شبکه سازمانی مورد استفاده قرار می گیرد، به روز خواهد کرد.

طبق اطلاعات منتشر شده از طرف مایکروسافت، این به روز رسانی سیستم های Windows Update و WSUS قبل از انتشار اصلاحیه های امنیتی ماهانه که در روز سه شنبه 23 خرداد ماه ارائه خواهند شد، صورت خواهد گرفت.

به روز رسانی سیستم Windows Update ارتباطی با تنظیمات به روز رسانی بر روی کامپیوترها نداشته و هر کاربری که سرویس Windows Update را بطور دستی یا خودکار اجرا کند، ابتدا نسخه به روز شده این سیستم را دریافت خواهد کرد.