راسخون

شناسایی عامل تهدید هدفمند سایبری+دانلود آنتی ویروس Flame

samsam کاربر طلایی1
|
تعداد پست ها : 50672
|
تاریخ عضویت : بهمن 1387 

 در پی بررسی­های تخصصی انجام شده طی چند ماه گذشته توسط كارشناسان مركز ماهر و در ادامه تحقیقات صورت گرفته از سال 2010 پیرامون حملات هدفمند سازمان دهی شده استاكس نت و دیوكیو، این مركز برای نخستین بار اقدام به انتشار اطلاعات آخرین نمونه از حملات این خانواده می نماید.

این حمله توسط بدافزاری كه از این پس با نام Flame (شعله آتش) معرفی خواهد شد صورت می گیرد. این نام برگرفته از محتویات رمزگشایی شده فایل های اصلی بدافزار است. این بدافزار در واقع پلتفرمی است كه قابلیت دریافت و نصب ابزارهای گوناگون جهت فعالیت های مختلف را داراست. در حال حاضر هیچ كدام از اجزای پرشمار تشكیل دهنده این بدافزار توسط بیش از 43 نرم افزار آنتی ویروس در دسترس مورد شناسایی قرار نمی گیرند. با این وجود ابزار شناسایی و پاكسازی این بدافزار در مركز ماهر تهیه شده و از امروز در اختیار سازمان ها و شركتهای متقاضی قرار خواهد گرفت.
شماری از قابلیت­های مهم این بدافزار عبارتند از:
  • انتشار از طریق حافظه های فلش
  • انتشار در سطح شبكه
  • پویش شبكه و جمع آوری و ثبت اطلاعات منابع شبكه و رمز عبور سیستم­های مختلف
  • پویش دیسك كامپیوتر آلوده و جستجو برای فایل­هایی با پسوندها و محتوای مشخص
  • تهیه تصویر از فعالیت­های خاص كاربر سیستم آلوده با ذخیره سازی تصاویر نمایش داده شده بر روی مانیتور كاربر
  • ذخیره سازی صوت دریافتی از طریق میكروفن سیستم در صورت وجود
  • ارسال اطلاعات ذخیره شده به سرورهای كنترل خارج از كشور
  • دارا بودن بیش از 10 دامنه مورد استفاده به عنوان سرور C&C
  • برقراری ارتباط امن با سرورهای C&C از طریق پروتكل های SSH و HTTPS
  • شناسایی و از كار انداختن بیش از 100 نرم افزار آنتی ویروس، ضد بدافزار، فایروال و ...
  • قابلیت آلوده سازی سیستم­های ویندوز XP، ویستا و ویندوز 7
  • قابلیت آلوده سازی سیستم­های یك شبكه در مقیاس بالا
به احتمال قریب به یقین و با در نظر گرفتن پیچیدگی و كیفیت بالای عملكرد و همچنین اهداف مشابه این بدافزار، می­توان آن را محصولی از خانواده استاكس نت و دیوكیو دانست.
نشانه های یافت شده حاكی از آن است كه رویدادهای رخ داده اخیر درخصوص از بین رفتن همزمان اطلاعات سیستم­های كامپیوتری نتیجه فعالیت یكی از اجزای این بدافزار میباشد.
با تحلیل انجام شده فهرستی از اجزای تشكیل دهنده این بدافزار شناسایی شده و در جدول زیر ارائه می­گردد. این اطلاعات قابل ارائه به تولیدكنندگان عمده آنتی ویروس می­باشد و از این پس اجزای این بدافزار می­تواند مورد شناسایی آنتی ویروس­ها قرار گیرد.
علائم آلودگی و جزئیات اجزای تشكیل دهنده بدافزار
وجود هریك از این نشانه ها بیانگر آلودگی سیستم به بدافزار flame است:
ردیف
نوع علائم
آدرس
1
وجود كلید رجیستری
HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\Authentication Packages -> mssecmgr.ocx
2
فایل­های اجرایی و تنظیمات آلودگی
windows\system32\mssecmgr.ocx
Windows\System32\ccalc32.sys
Windows\System32\msglu32.ocx
Windows\System32\boot32drv.sys
Windows\System32\nteps32.ocx
Windows\System32\advnetcfg.ocx
Windows\System32\soapr32.ocx
Windows\System32\to961.tmp
Windows\ EF_trace.log
 
maminsafari کاربر تازه وارد
|
تعداد پست ها : 4
|
تاریخ عضویت : خرداد 1391 


امروز کمپانی امنیتی Webroot تائید کرد که موتور ویروس یاب این شرکت در سال 2007 موفق به شناسایی ویروس W32.Flamer شده است .
 

 

 

به گفته کارشناسان امنیتی ویروس W32.Flamer که با نامهای SKyWIper ، Flame و Flamer هم نامگذاری شده یکی از پیچیده ترین تهدیدات کامپیوتری است .

سخنگوی کمپانی وب روت گفته است این ویروس چیزی شبیه ویروسهای Zeus , Spyeye و TDL 4 است که تهدیداتی شناخته شده در سال 2007 بوده اند .

A Webroot spokesperson says the security vendor takes issue with the hyperbolic claims about ‘Flame’, and claims the underlying threat has been known since 2007. “In terms of sophistication we believe it is nowhere near Zeus, Spyeye or TDL4 for example. Essentially Flame at its heart is an over-engineered threat that doesn’t have a lot of new elements to it--essentially a 2007 era technology.

There is one element of ‘Flame’ that Webroot believes may be unique, though. Many antimalware tools use some form of reputation analysis to help determine if a given program is malware or not. Essentially, if the executable has been seen before, and hasn’t done any previous harm it gets a bit of a “free pass”--it has proven itself and earned some level of trust.


شرکت وب روت معتقد است بین کد زیربنایی و اولیه ویروس شعله تا آماده سازی آن برای جاسوسی اینترنت و یا جنگهای سایبری فاصله کوتاهی وجود داشته .

با توجه به اینکه موتور ویروسیاب وب روت در سال 2007 نسخه اولیه ویروس را شناسایی کرده و گزارشی که باعث شود آن در نهایت منجر به تجزیه و تحلیل این ویروس شود به این شرکت ارائه نشده ، وب روت آن را به عنوان تهدید شناسایی کرده و تحلیلی روی آن صورت نداده است .

وب روت اولین نسخه کاربردی این ویروس را بر روی رایانه یک ایرانی در مارچ 2010 شناسایی کرده است .

'Flame': Lethal Cyberweapon or Media Hype?


ولی ذکر چند نکته :

1- درست است که وب روت یک شرکت خصوصی ( سهامی خاص ) می باشد ولی سابقه این شرکت و نوع فعالیتش نشان داده مانند شرکت روسی کسپرسکی برای اینکه در صدر اخبار باشد اقدام به دروغ سرایی نمی کند .

2- فعالیت خبری شرکت وب روت کم است و عمده تمرکز این شرکت بر روی ارائه برترین محصولات و خدمات امنیتی به کاربران است .

نه مانند کسپرسکی که یک روز سر از قطب در می آورد و یک روز از قله آتشفشان .

3- این شرکت جزء شرکتهای پیشرو در تکنولوژی های امنیت ابری و رفتار شناسی است .

http://duruntash.mihanblog.com/post/2319

farshon کاربر طلایی1
|
تعداد پست ها : 43957
|
تاریخ عضویت : آذر 1387 

مدیرمحترم بخش رایانه

میشه درموردهک ونحوه کاربااون توضیح بدین؟

samsam کاربر طلایی1
|
تعداد پست ها : 50672
|
تاریخ عضویت : بهمن 1387 

 بدافزار فلیم که علیه برنامه هسته‌ای ایران ساخته شد، چگونه تخریب می‌کند؟ 

افتانا (پایگاه خبری امنیت فناوری اطلاعات)،فلیم در واقع بدافزاری است که قابلیت دریافت و نصب ابزارهای مختلف جهت فعالیت‌های مخرب را دارد.