سايت خبری فناوری اطلاعات (ايتنا) 24 خرداد 1391 ساعت 17:45 https://www.itna.ir/article/22490/آزمایشگاه-ایمن-تحلیل-خود-بدافزار-فلیم-منتشر -------------------------------------------------- عنوان : آزمایشگاه ایمن تحلیل خود از بدافزار فلیم را منتشر کرد -------------------------------------------------- ایتنا - قریب به ۹۰% اطلاعاتی که در محافل خبری معتبر و رسمی در مورد ویروس شعله ارائه شده درست بوده و مورد تائید آزمایشگاه ضد بدافزار ایمن می‌باشد. متن : آزمایشگاه ضدبدافزار ایمن، تحلیل خود در باره بدافزار فلیم(شعله) را منتشر نمود. متن کامل گزارش رسیده به ایتنا به شرح زیر است. بعد از حمله سایبری به شرکت نفت آزمایشگاه ضدبدافزار ایمن که نخستین آزمایشگاه ضد بدافزار ایرانی می‌باشد خود را موظف دانست تا همانند حملاتی همچون استاکس نت باز به دنبال راههای شناخت و مقابله با این بدافزار باشد. می‌توان ویروس شعله را در میان بدافزارها و جاسوس‌افزارها یکی از خطرناک‌ترین ومخربترین نوع بدافزار دانست، در یک نگاه می‌توان مدعی بود که این ویروس بسیار پیشرفته‌تر از Stuxnet و DuQu است، ساختار ماژولار و انعطاف پذیر و بسیار پیچیده و رمزگذاری شده به گونه‌ایست که امکان دیباگ و مهندسی معکوس کردن را بسیار دشوار و یا حتی غیرممکن می‌سازد، این ویروس ظاهرا هر اقدامی را برای مهاجمان فراهم می‌سازد. جمع آوری اطلاعات و فرستادن آنها ، نفوذ در شبکه‌های بزرگ (گاها صنعتی و مهم) ، از بین بردن اطلاعات سیستم آلوده، قدرت جست‌وجو، تحلیل و پردازش گونه‌ای خاص از فایل‌ها، از کار انداختن آنتی‌ویروس‌ها، امکان ارتباط و ارسال گزارش با مرکز فرماندهی خود و ... اینها تنها بخشی از قابلیت‌های ویروس شعله است. در این گزارش بیشتر مواردی را مورد بررسی قرار میدهیم که از دید کثیری از تحلیلگران پنهان مانده است. با بررسی ویروس شعله میتوان بیان کرد که این ویروس از طریق فلش دیسک انتشار پیدا می‌کند و همچنین قابلیت منتشر شدن در سطح شبکه را نیز داراست، ویروس شعله برای آلوده ساختن از قابلیت Autorun ویندوز بهره می‌برد. نکته جالب توجه در بررسی ویروس شعله این بود که این بدافزار برای بدست آوردن اطلاعات در مورد قابلیت‌های پهنای باند در فهرست وب سایت‌های خود از سه وب سایت ایرانی استفاده کرده است، که تاکید بر آن دارد، ایران یکی از اهداف اصلی ویروس شعله بوده است. طیف وسیعی از اطلاعات ثبت شده توسط ویروس شعله عبارت است: اطلاعات عمومی سیستم : local time List of volumes,their serial number and FileSystem name OS Version,Servise Pack Number Computer Name the list of running processes a list of user-mode services and their state a list of application form %AppData% Internet Explorer,Microsoft Outlook and Microsoft Word versions CodePage of the system (can be used for localization) entries form %Program Files% directory Time Zone Information اطلاعات مربوط به شبکه : information about Remote Desktop Services and Windows Firewall open TCP/UDP Connections information about the interface : MAC Address, IP Address, Gateway Address, Primary WINS Server Address, Secondary WINS Server Address, DHCP Server Address, statistics about the transferred packest, in the case of WiFi adapters their PNP ID, the name of the adapter, subnet mask IP routing information including persistent IP routing tables,IP Fprward Table list of DNS servers the contents of %windir%\system۳۲\drivers\.etc\hosts the SSIDs stored in registry domain information: the domain name to which the computer belongs, user account name, name of computer, group name, the Domain Controller Name the local hostname Dial-Up information Proxy Server list the links from "My Network Places" cached DNS data table the list of visible network share names and their addresses names of files opened in Internet Explorer (from the URL cache) a list of printers to which the computer is connected the POP۳ Server Name and SMTP Mail Address of the accounts used in MS Outlook information about disks(name, free space available,...) cookies from yahoo.com Internet Explorer saved and protected data ثبت داده‌های برنامه‌های مختلف در رجیستری : Inno Setup VNC PenguiNet RageWork File Manager NetServe FTP Client Jildi FTP Client Cyd FTP Client AceFTP ۳ FreeWare Intersoft Secure Key Agent DameWare Nt Utilities Bitkinex ۲.۷ SmartFTP VanDyke SecureCrt Ipswitch WS_FTP BulletProof Ftp Client CuteFTP FTP Explorer Robo Ftp SoftX.org FTP Client Mssh Emurasoft EmFTP Netx NetserverFtpClient Web Drive From South River Technologies WinScp۲ (Martin Prikryl) TeamViewer RADMin از سایر ویژگی‌های ویروس شعله میتوان به سوء استفاده از حفره‌های امنیتی، سرقت کلمات رمز و عبور، متوقف کردن پروسه‌های امنیتی ، شناسایی و از كار انداختن بیش از ۱۰۰ نرم‌افزار آنتی‌ویروس، ضد بدافزار، فایروال و ... ، قابلیت اجرا در Windows XP , Vista , ۷ ، پردازش و تحلیل فایل‌هایی با پسوندهای *.doc, *.docx, *.xls, *.dwg, *.kml *.ppt, *.csv, *.txt, *.url, *.pub, *.rdp, *.ssh, *.ssh۲, *.vsd, *.ora, *.eml تصویربرداری از صفحه نمایشگر ، ضبط صدا و استفاده از آنها برای مقاصد جاسوسی اشاره کرد. این ویروس توانایی از بین بردن خود را نیز دارد. لازم به ذکر است که قریب به ۹۰% اطلاعاتی که در محافل خبری معتبر و رسمی در مورد ویروس شعله ارائه شده درست بوده و مورد تائید آزمایشگاه ضد بدافزار ایمن می‌باشد. گرچه برای پی بردن به تمامی اصرار نهفته در این بدافزار نیاز به زمانی به مراتب بیشتر از اینهاست. آزمایشگاه ضد بدافزار ایمن این افتخار را دارد که تا کنون دو گونه متفاوت از ویروس شعله را شناسایی و ضد بدافزار خود را بروز نموده است. در پایان لازم است به این نکته اشاره شود که استاکس نت ، شعله و ... آخرین تهدیدات و حملات سایبری دشمنان این خاک نخواهند بود، به امید مقابله با چنین تهدیداتی قبل از وقوع اتفاق.