بدافزار Duqu و معنی آن؟

ویروس Duqu چیست؟

ویروس Duqu چیست؟

یک بدافزار از نوع RAT یا Remote Access Trojan است که برای جمع‏آوری و سرقت اطلاعات از کامپیوتر قربانی، طراحی و تهیه شده است. اولیه نمونه از این ویروس توسط یک واحد تحقیقاتی در دانشگاه بوداپست مجارستان کشف و شناسایی شد.

معنی کلمه Duqu چیست؟

کلمه Duqu را که باید به صورت “دی یو – کی یو” تلفظ کرد، معنی خاصی ندارد و فقط با اقتباس از نام فایل‏هایی که این ویروس بر روی کامپیوتر قربانی ایجاد می‏کند، این نامگذاری صورت گرفته است.

چرا این همه به ویروس Duqu توجه می شود؟

بسیاری اعتقاد دارند که ویروس Duqu توسط همان فرد یا گروهی که ویروس مشهور Stuxnet را ساخته‏اند، طراحی و تهیه شده است. برخی نیز معتقدند که ویروس Duqu پیش زمینه و مقدمه‏ای برای نسل دوم ویروس Stuxnet است.

دقیقاً چه ارتباطی بین Duqu و Stuxnet وجود دارد؟ بسیاری از بخش‏های هر دو ویروس Stuxnet و Duqu دارای یک برنامه (Source) واحد هستند. فایل‏های اجرایی Stuxnet به آسانی بر روی اینترنت قابل دسترسی و تهیه هستند ولی برنامه Stuxnet تا به حال به طور عمومی منتشر نشده است. این مشابهت نشان می‏دهد که فرد یا گروه نویسنده هر دو ویروس یکی است و یا نویسندگان Duqu به نحوی با نویسندگان Stuxnet در ارتباط هستند. همچنین گواهینامه‏ الکترونیکی که برای نصب ویروس بر روی کامپیوترهای قربانی مورد استفاده قرار گرفته، در هر دو مورد از یک شرکت تایوانی سرقت شده‏اند.

• اهداف ویروس Duqu چیست؟ ویروس Duqu بر خلاف ویروس Stuxnet عملیات خرابکارانه انجام نمی‏دهد و تنها هدف تعریف شده برای Duqu، سرقت اطلاعات از شرکت‏های سازنده سیستم‏های مدیریت و کنترل صنعتی است. دقت کنید که هدف، شرکت‏های سازنده این سیستم‏ها هستند و نه کاربران این سیستم‏های صنعتی. به همین دلیل نیز بسیاری از کارشناسان معتقدند که اطلاعات جمع‏آوری شده توسط Duqu در طراحی و ساخت نسل بعدی Stuxnet مورد استفاده قرار خواهد گرفت.

• خطر ویروس Duqu چقدر جدی است؟ بستگی دارد که این سوال را از چه کسی بپرسید. شرکت‎های امنیتی در چند هفته گذشته، ویروس Duqu را یک بدافزار بسیار پیچیده که توسط برخی دولت‏های جهان حمایت می‏شود، معرفی کرده‏اند. انتشار خبرهایی از کشف آلودگی به این ویروس در ایران و سابقه‏ای که از فعالیت Stuxnet در کشورمان در ذهن‎ها وجود دارد، جنجال خبری ویروس Duqu را دو چندان کرده است.

•  آیا همه درباره خطرات Duqu هم عقیده هستند؟ خیر. بسیاری از کشورهای جهان واکنش خاصی به ویروس Duqu نشان نداده و با آن مانند یک بدافزار دیگر مانند هزاران بدافزاری که روزانه کشف می‏شوند، رفتار کرده‏اند. دولت آمریکا هم که در ابتدا هشدار امنیتی در این مورد منتشر کرده بود و از واحدهای صنعتی خواسته بود که هوشیاری بیشتری به خرج دهند، اکنون ویروس Duqu را خطری برای این مراکز نمی‏داند و در هشدار اولیه خود تجدید نظر کرده است.

• میزان آلودگی به ویروس Duqu به چه میزان بوده است؟ آمار دقیقی در دست نیست ولی به تایید مراکز امنیتی مختلف، میزان آلودگی بسیار اندک است. شرکت ضدویروس Symantec گزارش داده که ویروس Duqu را در شش سازمان در هشت کشور مختلف کشف و شناسایی کرده است. این کشورها عبارتند از ایران، هند، سودان، ویتنام و فرانسه. چند گزارش آلودگی تایید نشده نیز از کشورهای مجارستان، اندونزی و انگلیس دریافت شده است. براساس تخمین شرکت‏های امنیتی تاکنون کمتر از ۵۰ مورد آلودگی به ویروس Duqu مشاهده شده است.

•  نحوه آلوده شدن کامپیوتر به ویروس Duqu چگونه است؟ نحوه دقیق آلوده کردن سیستم‏ها توسط ویروس Duqu هنوز کاملاً مشخص نشده است. تا این تاریخ، مشخص شده که ویروس از یک نقطه ضعف تاکنون ناشناخته در سیستم عامل Windows برای نصب کردن برنامه‏های خود بر روی کامپیوتر قربانی سوءاستفاده می‏کند. برنامه نصب ویروس در یک فایل Word گنجانده شده و این فایل به صورت یک پیوست به همراه ایمیل‏هایی که به افراد و مراکز خاص ارسال شده اند، منتشر شده است. پس از نصب و فعال شدن ویروس بر روی کامپیوتر قربانی، ویروس با یک مرکز کنترل و فرماندهی ارتباط برقرار می‏کند تا فایل‏های مخرب و جاسوسی بیشتری را دریافت کند. ویروس Duqu به طور خودکار منتشر نمی‏شود و فرمان انتشار و آلوده کردن سیستم‏های بیشتر، باید توسط مرکز کنترل و فرماندهی صادر شود. همچنین ویروس به طور دائم بر روی کامپیوتر قربانی باقی نمی‏ماند و پس از گذشت ۳۶ روز از تاریخ فعال شدن، به طور خودکار حذف و نابود می‏شود.

• آیا شرکت مایکروسافت اصلاحیه ای برای ترمیم نقطه ضعف مورد سوءاستفاده Duqu منتشر کرده است؟ فعلاً خیر! ولی مایکروسافت اعلام کرده که با کمک دیگر شرکت‏های امنیتی در حال تهیه اصلاحیه‏ای است. تا آن زمان، کاربران می‏توانند از راه‏حل موقتی که مایکروسافت ارائه کرده، استفاده کنند و راه‏های دسترسی ویروس Duqu به بخش‏های آسیب‏پذیر Windows را مسدود کنند. در این راه‏حل موقت که اعمال آن به صورت خودکار توسط ابزاری که مایکروسافت عرضه کرده، صورت می‏گیرد، دسترسی به فایل T2EMBED.DLL مسدود شده است. اطلاعات بیشتر را می‏توان در این نشانی به دست آورد:

https://technet.microsoft.com/en-us/security/advisory/2639658

• نحوه ارسال اطلاعات سرقت شده توسط ویروس Duqu چگونه است؟ اطلاعات جمع‏آوری شده از کامپیوتر قربانی، ابتدا رمزگذاری شده و سپس در ظاهر به صورت یک فایل تصویر از نوع JPG به مرکز کنترل و فرماندهی ارسال می‏شود.

• چه کسانی پشت ویروس Duqu هستند؟ در حال حاضر، نمی‏توان به این سوال جواب قاطعی داد و حتی شاید هرگز نتوان جوابی برای آن پیدا کرد. ساختار ویروس Duqu و پیچیدگی آن نشان می‏دهد که نویسنده و یا نویسندگان این ویروس دسترسی به منابع مالی وسیعی دارند و یا خودشان در زمینه IT بسیار خبره و حرفه‏ای هستند. داشتن منابع مالی زیاد و یا دسترسی به افراد خبره‏ای که به حوزه‏های مختلف IT تسلط داشته باشند، معمولاً از عهده نهادهای دولتی و نظامی بر می‏آید.

•  چگونه مطمئن شوم که آلوده به ویروس Duqu نیستم؟ همان افرادی که ویروس Duqu را برای اولین بار کشف کردند، اکنون ابزاری برای شناسایی آن تهیه و به صورت رایگان در اختیارعموم قرار داده‏اند، این ابزار، فایل‏هایی را که ویروس Duqu بر روی کامپیوتر آلوده ایجاد می‏کند، شناسایی می‏کند. این ابزار را می‏توانید در نشانی زیر به دست آوردید. هدف اصلی ویروس Duqu شرکت‏های سازنده سیستم‏های مدیریت و کنترل صنعتی است. پس اگر شما یکی از این شرکت‏ها نیستید و یا برای این شرکت‏ها کار نمی‏کنید، نباید خطر چندانی از بابت ویروس Duqu شما را تهدید کند.

http://www.crysys.hu/duqudetector.html

فسا-پسا