- ویروس Duqu چیست؟ یک بدافزار از نوع RAT یا Remote Access Trojan است که برای جمعآوری و سرقت اطلاعات از کامپیوتر قربانی، طراحی و تهیه شده است. اولیه نمونه از این ویروس توسط یک واحد تحقیقاتی در دانشگاه بوداپست مجارستان کشف و شناسایی شد.
- چرا این همه توجه به ویروس Duqu؟ بسیاری اعتقاد دارند که ویروس Duqu توسط همان فرد یا گروهی که ویروس مشهور Stuxnet را ساختهاند، طراحی و تهیه شده است. برخی نیز معتقدند که ویروس Duqu پیش زمینه و مقدمهای برای نسل دوم ویروس Stuxnet است.
- معنی کلمه Duqu چیست؟ کلمه Duqu را که باید به صورت “دی یو – کی یو” تلفظ کرد، معنی خاصی ندارد و فقط با اقتباس از نام فایلهایی که این ویروس بر روی کامپیوتر قربانی ایجاد میکند، این نامگذاری صورت گرفته است.
- دقیقاً چه ارتباطی بین Duqu و Stuxnet وجود دارد؟ بسیاری از بخشهای هر دو ویروس Stuxnet و Duqu دارای یک برنامه (Source) واحد هستند. فایلهای اجرایی Stuxnet به آسانی بر روی اینترنت قابل دسترسی و تهیه هستند ولی برنامه Stuxnet تا به حال به طور عمومی منتشر نشده است. این مشابهت نشان میدهد که فرد یا گروه نویسنده هر دو ویروس یکی است و یا نویسندگان Duqu به نحوی با نویسندگان Stuxnet در ارتباط هستند. همچنین گواهینامه الکترونیکی که برای نصب ویروس بر روی کامپیوترهای قربانی مورد استفاده قرار گرفته، در هر دو مورد از یک شرکت تایوانی سرقت شدهاند.
- اهداف ویروس Duqu چیست؟ ویروس Duqu بر خلاف ویروس Stuxnet عملیات خرابکارانه انجام نمیدهد و تنها هدف تعریف شده برای Duqu، سرقت اطلاعات از شرکتهای سازنده سیستمهای مدیریت و کنترل صنعتی است. دقت کنید که هدف، شرکتهای سازنده این سیستمها هستند و نه کاربران این سیستمهای صنعتی. به همین دلیل نیز بسیاری از کارشناسان معتقدند که اطلاعات جمعآوری شده توسط Duqu در طراحی و ساخت نسل بعدی Stuxnet مورد استفاده قرار خواهد گرفت.
- خطر ویروس Duqu چقدر جدی است؟ بستگی دارد که این سوال را از چه کسی بپرسید. شرکتهای امنیتی در چند هفته گذشته، ویروس Duqu را یک بدافزار بسیار پیچیده که توسط برخی دولتهای جهان حمایت میشود، معرفی کردهاند. انتشار خبرهایی از کشف آلودگی به این ویروس در ایران و سابقهای که از فعالیت Stuxnet در کشورمان در ذهنها وجود دارد، جنجال خبری ویروس Duqu را دو چندان کرده است.
- آیا همه درباره خطرات Duqu هم عقیده هستند؟ خیر. بسیاری از کشورهای جهان واکنش خاصی به ویروس Duqu نشان نداده و با آن مانند یک بدافزار دیگر مانند هزاران بدافزاری که روزانه کشف میشوند، رفتار کردهاند. دولت آمریکا هم که در ابتدا هشدار امنیتی در این مورد منتشر کرده بود و از واحدهای صنعتی خواسته بود که هوشیاری بیشتری به خرج دهند، اکنون ویروس Duqu را خطری برای این مراکز نمیداند و در هشدار اولیه خود تجدید نظر کرده است.
- میزان آلودگی به ویروس Duqu به چه میزان بوده است؟ آمار دقیقی در دست نیست ولی به تایید مراکز امنیتی مختلف، میزان آلودگی بسیار اندک است. شرکت ضدویروس Symantec گزارش داده که ویروس Duqu را در شش سازمان در هشت کشور مختلف کشف و شناسایی کرده است. این کشورها عبارتند از ایران، هند، سودان، ویتنام و فرانسه. چند گزارش آلودگی تایید نشده نیز از کشورهای مجارستان، اندونزی و انگلیس دریافت شده است. براساس تخمین شرکتهای امنیتی تاکنون کمتر از 50 مورد آلودگی به ویروس Duqu مشاهده شده است.
- نحوه آلوده شدن کامپیوتر به ویروس Duqu چگونه است؟ نحوه دقیق آلوده کردن سیستمها توسط ویروس Duqu هنوز کاملاً مشخص نشده است. تا این تاریخ، مشخص شده که ویروس از یک نقطه ضعف تاکنون ناشناخته در سیستم عامل Windows برای نصب کردن برنامههای خود بر روی کامپیوتر قربانی سوءاستفاده میکند. برنامه نصب ویروس در یک فایل Word گنجانده شده و این فایل به صورت یک پیوست به همراه ایمیلهایی که به افراد و مراکز خاص ارسال شده اند، منتشر شده است. پس از نصب و فعال شدن ویروس بر روی کامپیوتر قربانی، ویروس با یک مرکز کنترل و فرماندهی ارتباط برقرار میکند تا فایلهای مخرب و جاسوسی بیشتری را دریافت کند. ویروس Duqu به طور خودکار منتشر نمیشود و فرمان انتشار و آلوده کردن سیستمهای بیشتر، باید توسط مرکز کنترل و فرماندهی صادر شود. همچنین ویروس به طور دائم بر روی کامپیوتر قربانی باقی نمیماند و پس از گذشت 36 روز از تاریخ فعال شدن، به طور خودکار حذف و نابود میشود.
- آیا شرکت مایکروسافت اصلاحیه ای برای ترمیم نقطه ضعف مورد سوءاستفاده Duqu منتشر کرده است؟ فعلاً خیر! ولی مایکروسافت اعلام کرده که با کمک دیگر شرکتهای امنیتی در حال تهیه اصلاحیهای است. تا آن زمان، کاربران میتوانند از راهحل موقتی که مایکروسافت ارائه کرده، استفاده کنند و راههای دسترسی ویروس Duqu به بخشهای آسیبپذیر Windows را مسدود کنند. در این راهحل موقت که اعمال آن به صورت خودکار توسط ابزاری که مایکروسافت عرضه کرده، صورت میگیرد، دسترسی به فایل T2EMBED.DLL مسدود شده است. اطلاعات بیشتر را میتوان در این نشانی به دست آورد:
https://technet.microsoft.com/en-us/security/advisory/2639658
- نحوه ارسال اطلاعات سرقت شده توسط ویروس Duqu چگونه است؟ اطلاعات جمعآوری شده از کامپیوتر قربانی، ابتدا رمزگذاری شده و سپس در ظاهر به صورت یک فایل تصویر از نوع JPG به مرکز کنترل و فرماندهی ارسال میشود.
- چه کسانی پشت ویروس Duqu هستند؟ در حال حاضر، نمیتوان به این سوال جواب قاطعی داد و حتی شاید هرگز نتوان جوابی برای آن پیدا کرد. ساختار ویروس Duqu و پیچیدگی آن نشان میدهد که نویسنده و یا نویسندگان این ویروس دسترسی به منابع مالی وسیعی دارند و یا خودشان در زمینه IT بسیار خبره و حرفهای هستند. داشتن منابع مالی زیاد و یا دسترسی به افراد خبرهای که به حوزههای مختلف IT تسلط داشته باشند، معمولاً از عهده نهادهای دولتی و نظامی بر میآید.
- چگونه مطمئن شوم که آلوده به ویروس Duqu نیستم؟ همان افرادی که ویروس Duqu را برای اولین بار کشف کردند، اکنون ابزاری برای شناسایی آن تهیه و به صورت رایگان در اختیارعموم قرار دادهاند، این ابزار، فایلهایی را که ویروس Duqu بر روی کامپیوتر آلوده ایجاد میکند، شناسایی میکند. این ابزار را میتوانید در نشانی زیر به دست آوردید. هدف اصلی ویروس Duqu شرکتهای سازنده سیستمهای مدیریت و کنترل صنعتی است. پس اگر شما یکی از این شرکتها نیستید و یا برای این شرکتها کار نمیکنید، نباید خطر چندانی از بابت ویروس Duqu شما را تهدید کند.