انتشار سريع ويروسي رايانه‌اي موسوم به RootKit.T mpHider موجبات نگراني جدي تحليلگران امنيتي در کشور را فراهم آورده است.

به گزارش عصر ارتباط، طي هفته‌هاي اخير اخبار متعددي در فضاي مجازي از سوي کاربران که مبني بر افزايش خطاهايي مانند Script Error و حتي در برخي موارد ظاهرشدن صفحه آبي و خاموش‌شدن ناگهاني دستگاه‌ها به گوش مي‌رسيد. گمانه‌زني‌‌ها ورود يک ويروس جديد به ايران که ظاهرا با هيچ يک از آنتي‌ويروس‌هاي متعارف نيز قابل شناسايي نيست را افزايش داد؛ تمرکز اين شکايت‌ها در وبلاگ‌ها و اجتماعات مجازي فارسي‌زبان نيز اين احتمال را به وجود آورد که ويروس ياد شده يا در ايران طراحي‌شده يا دست‌کم هنوز هيچ منبع جهاني موفق به شناسايي آن نشده است.

نشانه‌هاي عجيب

ردگيري مجموعه اين اخبار پراکنده در نهايت نگاه‌ها را متــوجه انجمن ايـنتـــرنتي گريــن‌وي بـــا آدرس greenway.ir کرد که در يکي از نوشته‌هاي اخير خود خبر از وجود يک فايل عجيب در فهرست فايل‌هاي سيستم داده و نوشته است: «طي روزهاي اخير گزارش‌هاي زيادي از كار نكردن برنامه‌ها توسط توليدكنندگان نرم‌افزار و همچنين كاربرها داشتيم. خطاهاي اجرايي مانند Script Error يا عدم نمايش فيلم برنامه‌ها از حدود يك ماه پيش افزايش يافته و به نقطه بحراني رسيده است. همچنين در اين مدت توسط برخي از كاربران نيز مورد لطف قرار گرفته‌ايم كه نتيجه همه اين مشكلات با بررسي دو سيستم كه داراي رفتارهاي عجيب بوده‌اند وجود يك Rootkit جديد تشخيص داده شد. براي رفع مشكل در سيستم‌ها حتما توجه كنيد كه فايل MRxNet.sys از زير فهرست system32drivers سيستم شما حذف شود.

اين انجمن فني در نوشته ياد شده از ويژگي‌هاي منحصر به فرد اين فايل رفتار اين فايل ابراز شگفتي کرده و نوشته است: «اين فايل بسيار عجيب است، اولا روال‌هاي اين درايور به درستي نوشته نشده و در نتيجه اجازه نصب درايور بعدي در زنجيره را نمي‌دهد. ثانيا فايل‌هاي مشابه، داراي امضا نيستند ولي اين فايل داراي امضاي ديجيتال است و ثالثا، با اين كه در قسمت مشخصات فايل، نام مايكروسافت آورده شده، اما امضا كننده فايل Realtek است.

در پايان اين نوشته وعده مکاتبه با شركت‌هاي امنيتي متخصص در زمينه ويروس‌ها داده شده تا منشا مشكل به طور قطع يافت و نمونه فايل به بانك اطلاعاتي ويروس‌كش‌هاي معروف اضافه شود. وعده‌اي که در نهايت ما را به سايت ويروس‌کش تازه‌وارد VBA32 رساند.

ويروس پو‌ل‌ساز

ويروس‌کش جوان و تقريبا گمنام VirusBlokAda که بيشتر با نام تجاري VBA32 شناخته شده اصالتا يک ويروس‌کش متعلق به بلاروس يا همان روسيه سفيد است که در چند سال اخير اندک اندک جاي ‌پايي هم در بازار نرم‌افزاري ايران براي خود باز کرده است.

سايت ايراني اين ويروس‌کش با آدرس vba32-ir.com اولين سايتي است که به خبر انتشار RootKit.T mpHider واکنش نشان داد. در بخش اخبار اين سايت ويروس mpHider ويروس خطرناک خوانده شده و آمده است: «اين ويروس که از طريق حافظه‌هاي فلش منتشر شده و روي سيستم‌هاي کاربران ايراني نيز ديده شده، به محض باز کردن حافظه فلش روي سيستم مي‌نشيند و يک فايل با پسوند SYS توليد و در پوشه System32\Drivers ويندوز کپي مي‌کند.»

در اين سايت ادعا شده mpHider براي اولين بار توسط نرم‌افزارهاي شرکت امنيتي VirusBlockAda کشف و رديابي شده است و مي‌تواند مشکلات مهمي مانند ايجاد خطاي Blue Page و Reset شدن سيستم‌ها را روي کامپيوترهاي آلوده شده به وجود بياورد. از کار انداختن قفل‌هاي نرم‌افزاري روي ديسک‌هاي نوري از ديگر اثرات آلوده شدن سيستم‌هاي کامپيوتري به اين روت‌کيت هستند. در اين صورت کاربراني که از اين نرم‌افزارها استفاده مي‌کنند يا توليدکنندگاني که روي محصولات خود اين نرم‌افزار را استفاده کرده‌اند، دچار مشکل خواهند شد.

به گزارش اين سايت اين ويروس داراي امضاي Realtek است. در نتيجه در صورتي که اين شرکت نتواند براي مقابله با آن اقدامي کند، از کار افتادن سخت‌افزارهاي اين شرکت روي سيستم‌ها از ديگر عواقب انتشار و توزيع اين ويروس جديد خواهد بود.

RealTek همان غول صنايع نيمه‌هادي تايواني‌هاست که کارت‌هاي صدايش بسيار در ايران شناخته شده هستند ولي محصولاتش طيف گسترده‌اي از تلويزيون‌هاي ديجيتالي تا تجهيزات شبکه را شامل مي‌شود.

ناگفته نماند VBA32 نهايت استفاده را هم از اين ويروس مرگبار و تازه‌وارد کرده و در همين سايت لينک شناسايي و پاک‌سازي اين ويروس هم ارايه شده است.

گسترش سريع

تماس با عباس گنج‌خاني که لابراتوارش در شرکت بازيابي طلايي ژرف اولين گزارش‌ها درباره اين ويروس جديد را منتشر کرده، جزييات بيشتري از ابعاد جديد اين آلودگي را به دست مي‌دهد.

مديرعامل ژرف با اشاره به اين که لزوما پاک کردن فايل MRxNet.sys مشکلات کاربران با mpHider را حل نخواهد کرد، گفت: «اين فايل RootKit فقط ساخته مي‌شود تا مانع ديده‌شدن ويروس اصلي شود و استفاده از آنتي ويروس در چنين شرايطي کاملا ضروري است. چون آنتي‌ويروس علاوه بر حذف روت‌کيت ياد شده رجيستري را هم اصلاح مي‌کند که با توجه به تغييراتي که mpHider در قسمت SERVICES رجيستري ويندوز انجام مي‌دهد اصلاح اين بخش هم ضروري است.»

او با اشاره به مکاتبات صورت گرفته ميان VBA32 و Realtek گفت: «بدون شک اين ويروس خاص به ويژه با توجه به داشتن امضاي شرکت RealTek در لابراتوارهاي ويروس‌شناسي سراسر جهان در حال بحث است ولي احتمال آن که اين ويروس در واقع بر اثر يک کارکرد نادرست يکي از راه‌اندازهاي Realtek به وجود آمده باشد بسيار اندک است. چون اين تغييرات پس از فعال شدن ويروس اعمال مي‌شود.»

به گفته گنج‌خاني تا کنون دست‌کم 30 درصد رايانه‌هاي آمارگيري شده توسط لابراتوار شرکت ژرف داراي اين ويروس بوده‌اند و با توجه به اين نکته که اين ويروس از طريق حافظه‌هاي فلش منتقل مي‌شود و استفاده از اين حافظه‌ها در ايران بسيار رايج است احتمال گسترده‌تر شدن ابعاد آلودگي هم مي‌رود.

او ضمن اشاره به اين نکته که حتي نمونه‌هايي از اين آلودگي در رايانه‌ها و حتي سرورهاي بانک‌هاي معتبر کشور هم يافت شده است، هشدار داد: «چون سرورها معمولا قابليت اتصال به حافظه‌هاي فلش را ندارند وجود mpHider روي اين دستگاه‌ها احتمال تکثير آن از طريق شبکه را بالاتر برده است. در واقع خطر واقعي هنگامي بروز مي‌کند که مشخص بشود اين ويروس يا نسخه‌هاي جديد‌تر آن علاوه بر حافظه‌هاي فلش امکان انتقال از طريق شبکه را هم دارد که در اين صورت سرعت گسترش و خسارات وارده توسط mpHider وارد فاز بسيار جدي‌تري خواهد شد.»

خب یکسری مطالب تکمیلی رسید :
به نقل از : You can see links before reply

مطلب این پست مربوط به (Malware) بدافزاری می باشد که اخیرآ توجه بسیاری از شرکت های امنیتی، ضد ویروس و همچنین مایکروسافت را به خود جلب کرده است. بد افزار StuxNet از چند جهت نمونه ایی بسیار قابل توجه می باشد. اول اینکه برای انتشار خود از یک ضعف امنیتی جالب و البته پیش از این ناشناخته استفاده می کند. دوم اینکه یک نمونه شاخص از بدافزارهای هدفمند می باشد که گروهی بسیار خاص از رایانه ها و کاربران را هدف قرار می دهد و سوم اینکه برای نصب بی سر و صدای خود در سیستم، علاوه بر بکار گیری تکنولوژی روت کیت، از گواهی های معتبر شرکت RealTek که به سرقت رفته است استفاده می نماید.


روش اصلی انتشار این بد افزار از طریق آلوده کردن فلش دیسک های متصل شده به سیستم می باشد که توضیحات در این خصوص در منابع ذکر شده در طول پست آمده است. البته این بد افزار از روش های دیگری نیز در حال انتشار می باشد که بگفته گزارش مایکروسافت، بیشترین گستردگی و آلودگی از طریق ایمیل و وب سایت های عرضه نرم افزارهای کرک و کد های تقلب بازی می باشد.


در خصوص نکته اول: ضعف امنیتی بکار گرفته شده در این بدافزار، مربوط به یک آسیب پذیری ناشناخته (0-day) می باشد که پیش از این، گزارش و یا مشاهده نشده بوده. این ضعف امنیتی که مربوط به فایل فرمت LNK (نوعی از همان Short-cut های ویندوز) می باشد به حمله کننده اجازه میدهد تا بصورت بسیار پایداری سیستم کاربر را مجبور به اجرای کد مورد نظر خود از طریق هدایت به DLL مد نظر نفوذگر کند. علت پایداری بالای این حمله این است که بر خلاف بسیاری از موارد مشابه، سرریز بافری در کار نیست! ضعف مذکور کلیه نسخ سیستم عامل های مایکروسافت را در بر میگیرد. نیاز به یاد آوری نیست که سیستم عامل ویندوز 2000 و همچنین ویندوز XP سرویس پک 2 و ما قبل آن دیگر توسط مایکروسافت پشتیبانی نشده و بنابراین اصلاحیه امنیتی ایی نیز برای آنها منتشر نخواهد شد.


درخصوص نکته دوم: بدافزار مذکور بصورت کاملآ خاص و مشخص، یکی از نرم افزارهای SCADA شرکت زیمنس (Simatic PCS) را هدف قرار می دهد. نکته جالب تر اینکه این بد افزار، کلمات عبور پیش فرضی که این نرم افزار از آنها برای تبادل اطلاعات با بانک اطلاعاتی خود مورد استفاده قرار می دهد را، بصورت hard-code شده در خود داشته و از آنها برای اتصال به بانک های اطلاعاتی و استخراج اطلاعات استفاده می کند. کاربری نرم افزار مذکور شرکت زیمنس نیز خاص بوده و منحصر به سیستم های هدایت و مانیتورینگ در صنایع، تاسیسات خاص و ... می باشد. شرکت زیمنس در این خصوص البته پاسخگو بوده و راهکارها و توضیحاتی را ارائه داده است.


در خصوص نکته سوم: حتمآ از راهکار امنیتی Driver-Signing مایکروسافت اطلاع دارید. هدف از بکار گیری این راهکار شناسایی سریع درایورهای غیرمعتبر و غیر مجاز نصب شده بر روی سیستم است. بد افزار یاد شده، برای فرار از این مورد، از گواهی های رسمی و معتبری استفاده کرده است که شرکت RealTek (یک تولید کننده معتبر سخت افزار) از آنها برای امضای دیجیتال درایورهای خود استفاده می نماید. مشاهده این مورد و اینکه درایورهای نصب شده توسط بد افزار با این امضای دیجیتال تآیید شده اند یک معنی و مفهوم واضح دارد : طراحان و تولید کننده گان این بد افزار بطور قطع به کلید خصوصی مربوط به این گواهی دسترسی داشته اند، که به معنی نفوذ موفقیت آمیز به سیستم های تولید کننده گان نرم افزار و درایورهای شرکت RealTek نیز میتواند باشد. البته با همکاری و پیگیری مایکروسافت، شرکت VeriSign گواهی های مورد استفاده را باطل کرده است. اظهار نظر و بررسی های متخصصین شرکت Kaspersky و همچنین ESET نیز در این خصوص مفید و خواندنی بوده، و در قالب یک FAQ به نکاتی در این خصوص اشاره می کند. شرکت RealTek تاکنون هیچ توضیح و یا اطلاعاتی در خصوص این رویداد امنیتی نداده است.

تصاویر، اعداد و ارقام و توضیحات گزارش اولیه ارائه شده مایکروسافت تقریبآ واضح هستند و نیازی به توضیح خاصی نیست. در صورتی که گزارش مایکروسافت به اندازه کافی شما را به فکر فرو نمی برد، شاید بررسی گزارش شرکت Symantec و مشاهده فعالیت بدافزار از دیدگاه و روش جالب بررسی آنها، کمی بیشتر شما را نگران کند. بر طبق این گزارش، بیش از 58% از تماس های برقرار شده (14000 آدرس IP واحد) از سیستم های آلوده که با سرور کنترل کننده (C&C) این بدافزار تماس گرفته اند، از کشور ایران بوده اند!

بررسی ASN های ذکر شده در گزارش Symantec مناطق و نواحی آلوده در ایران را نیز بصورت کاملآ مشخص اما کلی بازگو می نماید. با مراجعه به وب سایت هایی مانند Robtex میتوان براحتی به اطلاعات ثبت شده مربوط به هر ASN دست یافت. بطور مثال بیشترین آلودگی ثبت شده مربوط به route های شرکت دیتا می باشد(ASN 12880).

تنها دلیل ارسال این پست تآکید بر اهمیت این موضوع و پررنگ تر کردن آن می باشد. رسانه های خارجی بحث های زیادی در این مورد مطرح کرده اند اما گویا کمترین توجه و رسیدگی در روزهای اخیر در جایی وجود داشته، که بیشترین آلودگی و گسترش در آنجاست. و جالب تر آنکه دیگران، بسیار بیشتر از خود ما، درباره وضعیت ما اطلاع دارند و آنرا بصورت آزاد منتشر می کنند. در چنین رویداد های امنیتی است که می بایست این سوال مطرح شود: " خروجی آن همه هزینه که صرف راه اندازی تیم ها و گروه های امنیتی با پشتیبانی دولتی و دانشگاهی شده و میشود، در چنین مواردی چه بوده است؟!" . آیا اصلا خروجی ایی در کار است و یا گزارش های ارائه شده توسط این دسته نیز مبتنی بر اطلاعات ارائه شده توسط شرکت های غیر ایرانی است؟

بررسی اینکه چرا ایران در صدر کشورهای مورد حمله این بدافزار قرار دارد نیاز به اطلاعات و جزئیات بیشتری دارد، اما می توان چند حدس مشخص داشت. اولین و پر رنگ ترین گزینه ممکن تلاش هدفمند برای کسب اطلاعات خاص از یکسری کشورهای خاص (از جمله ایران). گزینه بعدی عدم پیاده سازی و پس از آن رعایت قوانین در خصوص استفاده از ابزارهای ذخیره سازی (مثل فلش دیسک) در شبکه های ایرانی می باشد، که مثل سرطان همواره باعث و منشآ بسیاری از آلودگی ها و نشت های اطلاعاتی بوده است. گزینه سوم نیز تمایل و رواج استفاده از نرم افزارهای غیر معتبر (قفل شکسته، دزدی و نسخه های دریافت شده از سایت های غیر رسمی) می باشد، که گزارش منتشر شده توسط مایکروسافت نیز اشاره ایی کوتاه به آن دارد. با انتشار اطلاعات و گزارشات کامل تر و دقیق تر می توان نتیجه گیری واضح تری در این خصوص داشت.

قابل توجه برادران گرامی ایی که به شدت نگران نشت اطلاعات از کشور بوده اند و البته این روز ها هم با جدیت مشغول متلاشی کردن تیم های سایبری بیگانگان و حملات دندان شکن به آنها بوده اند... بهتر نیست دیدگاه خود را نسبت به حملات سایبری و شناخت آن کمی تغییر دهید؟