صدور دستور خودکشی ویروس Flame
گردانندگان ویروس Flame با صدور فرمانی به کامپیوترهای آلوده تحت کنترل و فرماندهی خود دستور داده اند تا اقدام به دریافت و نصب برنامه جانبی جدیدی بکنند که برای نابودی و حذف کامل بقایای ویروس طراحی و ساخته شده است.
بررسی های صورت گرفته در دو هفته گذشته، نشان داده که ویروس Flame دارای بخشی به نام Suicide است که می تواند از آن برای برداشتن (Unistall) ویروس از روی کامپیوتر آلوده استفاده کند. ولی اوایل هفته گذشته، گردانندگان ویروس تصمیم گرفتند که برنامه جانبی جدیدی را برای خودکشی ویروس Flame ارائه کرده و بر روی کامپیوترهای آلوده ای که همچنان تحت فرماندهی آنان هستند، توزیع و نصب کنند.
این برنامه جانبی دارای نام Browse32.ocx است و آخرین نگارش آن حدود یکماه قبل ساخته شده است. هنوز مشخص نیست که چرا از برنامه Suicide استفاده نشده و برنامه جدید و مشابه دیگری جایگزین آن گردیده است. عملکرد هر دو برنامه تقریباً یکسان است ولی برنامه جدید Browse32.ocx، برای اطمینان بیشتر، یک قدم فراتر می رود.
این برنامه جدید، تمام فایل های مرتبط با ویروس Flame را شناسایی کرده و آنها را یک به یک حذف می کند و سپس محل ذخیره این فایل ها بر روی دیسک سخت را با کاراکترهای شانسی بازنویسی می کند تا به هیچ وجه امکان بازیابی اطلاعات فایل وجود نداشته باشد.
یقیناً همه می دانند که در سیستم عامل Windows، با حذف یک فایل، اطلاعات آن فایل از روی دیسک سخت بطور فیزیکی حذف و پاک نمی شود. بلکه فقط محل آن اطلاعات بعنوان محل آزاد برای ذخیره مجدد اطلاعات، علامت گذاری می شود. لذا می توان پیش از ذخیره اطلاعات جدید در این محل ها، اطلاعات فعلی علامت گذاری شده را بازیابی کرده و به دست آورد.
البته دو شرکت ضد ویروس Symantec و Kaspersky بر روی ترتیب عملیات برنامه Browse32.ocx اختلاف نظر دارند. شرکت Symantec معتقد است که ابتدا فایل های ویروس حذف شده و سپس محل ذخیره آنها روی دیسک سخت، با کاراکترهای شانسی بازنویسی می شوند. شرکت Kaspersky ترتیب این دو مرحله را برعکس می داند. البته در هر دو حالت، نتیجه یکسان است.
در مورد حذف اطلاعات ویروس از روی دیسک و حذف کل اطلاعات ذخیره شده بر روی دیسک ها، شرکت Kaspersky همچنان معتقد است که این دو مورد مربوط به عملکرد دو ویروس جدا و متفاوت می شود. مورد اول یا حذف اطلاعات ویروس، یکی از بخش ها و عملیات ویروس Flame است که تحت شرایط خاصی به اجرا در می آید. ولی مورد دوم یا حذف کل اطلاعات دیسک سخت، همچنان مشکوک و مبهم است و احتمالاً مربوط به ویروس دیگری می شود که این روزها به آن نام Wiper داده شده است.
