ویروس w32/SkyWiper
چیست؟
به این بدافزار نام های مختلقی نظیر Wiper ،Viper ،Flame و Sky Wiper داده شده است. به احتمال زیاد، این بدافزار منشاء حملات سایبری به شبکه اینترنت و مخابرات وزارت نفت بوده که در سوم اردیبهشت امسال رخ داد.
برسی های اولیه نشان می دهد این بدافزار نیز مانند بدافزارهای Stuxnet و Duqu بسیار پیچیده بوده و زمان زیادی برای طراحی و ساخت آن صرف شده و اهداف خاصی را دنبال می کند. عملیات و رفتارهای این بدافزار متعدد و گوناگون است.
انتشار
بدافزار SkyWiper به روش های مختلف انتشار می یابد. این بدافزار مکانیزم خاص خود را برای انتشار دارد که هنوز بررسی و تحقیق درباره جزئیات این روش ادامه دارد.
همچنین این بدافزار از نقاط ضعف اصلاح شده در اصلاحیه های شماره MS10-046 و MS10-061 مایکروسافت که مربوط به دو سال قبل می شود، برای انتشار خود، سوء استفاده می کند.
بدافزار SkyWiper قابلیت به روز رسانی از طریق ارتباط با مراکز کنترل و فرماندهی خود را دارد. لذا امکان تغییر روش انتشار این بدافزار نیز دور از انتظار نیست.
آسیب
این بدافزار که توسط ضدویروس McAfee با نام Sky Wiper شناسایی می شود، قادر به انجام عملیات مخرب زیر می باشد.
– بررسی منابع شبکه
– سرقت اطلاعات
– تماس با مراکز فرماندهی خود از طریق پودمانهای SSH و HTTPS
– قابلیت تشخیص بیش از 100 محصول امنیتی (ضدویروس، برنامه های ضدجاسوسی، دیواره آتش و غیره)
– اجرا شدن در سطح هسته و در سطح برنامه
– اجرا به همراه پروسه Winlogon.exe و تزریق خود به پروسه explorer.exe و ثبت خود بعنوان یک سرویس
– اضافه کردن علامت ~ در ابتدای نام فایلهای خود برای مخفی ساختن حضور خود (مشابه بدافزارهای Stuxnet و Duqu)
– توانایی حمله به سیستم ها از طریق حافظه های USB و شبکه های محلی (لازم به ذکر است که برخلاف ویروسهای رایج این بدافزار به کندی از این طریق انتشار می یابد تا کمتر جلب توجه کند)
– تصویر برداری از فعالیت های کاربر
– شنود و ضبط تماسهای صوتی برقرار شده از طریق سیستم آلوده
– قابلیتهای اجرا بر روی سیستم های عامل XP، Vista و Win 7
– سوء استفاده از ضعف های امنیتی سیستم عامل همچون Print Spooler و فایلهای lnk
– استفاده از بانک داده SQLite برای ذخیره اطلاعات جمع آوری شده
– قابلیت توسعه و به روز شدن امکانات جدید
– استفاده از منابع PE رمز شده
فایلهای اصلی بدافزار SkyWiper عبارتند از:
(برنامه اصلی) Windows\System32\mssecmgr.ocx
Windows\System32\msglu32.ocx
Windows\System32\nteps32.ocx
Windows\System32\advnetcfg.ocx
Windows\System32\soapr32.ocx
برنامه اصلی بدافزار از طریق مسیر زیر در محضرخانه (Registry) اجرا می گردد:
HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\ Authentication Packages
برخی از فایل های مرتبط با ویروس SkyWiper در ظاهر متعلق به شرکت مایکروسافت می باشد. بعنوان مثال، یک فایل در ظاهر Windows Authentication Client نسخه 5.1 و شماره ساخت Build) 2600) و ساخت Microsoft Corporation است. ولی بررسی دقیق تر نشان می دهد که مانند ویروس های Stuxnet و Duqu هیچیک از فایل های بدافزار Flame نیز دارای Authentication Key معتبر نیستند.
این بدافزار فایلهای زیر را نیز ایجاد می کند.
~dra52.tmp
target.lnk
zff042
urpd.ocx
ccalc32.sys
boot32drv.sys
Pcldrvx.ocx
~KWI
guninst32
~HLV
~DEB93D.tmp
~DEB83C.tmp
~dra53.tmp
cmutlcfg.ocx
~DFL983.tmp
~DF05AC8.tmp
~DFD85D3.tmp
~a29.tmp
dsmgr.ocx
~f28.tmp
~dra51k.tmp
~d43a37b.tmp
~dfc855.tmp
Ef_trace.log
contents.btr
wrm3f0
scrcons.exe
wmiprvse.exe
wlndh32
mprhlp
kbdinai
~ZLM0D1.ocx
~ZLM0D2.ocx
sstab
~rcf0
~rcj0
پیشگیری
ضدویروس های McAfee این بدافزار را با نام W32/SkyWiper شناسایی می کند.
احتمالاً این بدافزار دارای گونه های متعددی می باشد. لذا توصیه می شود که فایلهای ذکر شده فوق، در بخش Access Protection نیز مسدود شوند و در صورت مشاهده نمونه ای ناشناس، آنرا در اسرع وقت از طریق http://help.shabakeh.net به شرکت مهندسی شبکه گستر ارسال نمایید. همچنین با توجه به اهمیت موضوع ممکن است نیاز به استفاده از فایل های موقت شناسایی (Extra DAT) باشد که در اینصورت هشدارهای لازم به ایمیل مشترکین ارسال خواهد گردید.
توصیه می شود مدیران شبکه موارد پیشگیری کننده همچون نصب آخرین اصلاحیه های سیستم عامل بصورت دستی یا از طریق WSUS و مسدود ساختن حافظه USB از طریق ابزارهایی همچون McAfee Device Control را نیز در نظر داشته باشند.
در صورت نیاز به اطلاعات بیشتر می توانید با گروه پشتیبانی شبکه گستر تماس حاصل فرمایید.