ايتنا - آخرین اخبار از ویروس Duqu

طی روزهای اخیر، با بررسی بیشتر و دقیق‏تر بر روی ویرس Duqu اطلاعات جدیدی درباره نحوه عملکرد این ویروس به دست آمده است.

به گزارش ایتنا از روابط عمومی شرکت مهندسی شبکه گستر، به دلیل وجود شباهت‌هایی بین ویروس Duqu و ویروس مشهور Stuxnet، این ویروس جدید مورد توجه زیادی قرار گرفته است و حتی عناوینی مانند "پسر Stuxnet" و یا "زاده Stuxnet" به آن داده شده است.

فهرستی از اخبار جدید درباره ویروس Duqu به شرح زیر جمع‌آوری و ارائه شده تا خوانندگان، کاربران و مدیران شبکه به دور از جنجال‌های حاشیه‌ای، اطلاعات لازم را در اختیار داشته باشند.

• ویروس Duqu از یک نقطه ضعف در بخش Kernel سیستم عامل Windows برای آلوده کردن کامپیوترهای قربانی و ایجاد ارتباط با سرور مرکز فرماندهی استفاده می‏کند. این نقطه ضعف تا به حال ناشناخته بوده و در حال حاضر اصلاحیه‏ای برای رفع آن از سوی شرکت مایکروسافت منتشر نشده است.
شرکت مایکروسافت با انتشار اطلاعیه‏ای ضمن تائید این نقطه ضعف، اعلام کرده که به زودی راه‏حلی در این مورد ارائه خواهد کرد.

• ویروس Duqu از طریق یک فایل اولیه که مرحله نصب فایل‏های اصلی ویروس را انجام می‏دهد، بر روی کامپیوتر قربانی نصب و فعال می‏شود. این فایل که اصطلاحاً به آن Installer یا Dropper گفته می‏شود، در قالب یک فایل Word است.
در صورت باز کردن این فایل DOC مخرب، با سوءاستفاده از نقطه ضعف Kernel، مجوزهای لازم برای نصب فایل‏های اصلی ویروس Duqu بر روی کامپیوتر فراهم و بدین ترتیب ویروس فعال می‏شود.

• نمونه‏هایی که تا به حال از فایل نصب (Installer) به دست آمده، نشان می‏دهد که موسسات و مراکز خاصی مورد هدف قرار گرفته‌اند‏ و فایل نصب Duqu اختصاصاً برای این سازمان‏ها ساخته شده‏ است. حتی دوره فعالیت و آلوده‏سازی فایل نصب Duqu نیز مشخص و تعریف شده است.
بر اساس اولین نمونه‌ای که از فایل نصب Duqu به دست آمده، ویروس فقط در طول هشت روز در ماه میلادی آگوست نصب و فعال شده است. البته در گونه‏های دیگر ویروس Duqu، مراکز مورد هدف و بازه زمانی فعالیت ویروس می‏تواند تغییر کرده باشد.

• به دلیل اینکه نقطه ضعف مورد سوءاستفاده ویروس Duqu در سیستم عامل windows است و ارتباطی به نرم‏افزار Word ندارد، این احتمال وجود دارد که برای نصب و فعال‏سازی ویروس از روش‏های دیگری به غیر از فایل مخرب Word هم استفاده شده باشد و یا در آینده بکار گرفته شود.

• با توجه به اینکه نقطه ضعف مورد استفاده ویروس Duqu در بخش Kernel سیستم عامل است، برخی کارشناسان معتقدند که برخلاف ویروس Stuxnet که از چهار نقطه ضعف مختلف برای فعالیت‏های خود استفاده می‏کرد، ویروس Duqu نمی تواند پیچیدگی Stuxnet را داشته باشد.
نقاط ضعف در بخش Kernel به وفور یافت می‏شود و شرکت مایکروسافت در بسیاری از اصلاحیه‏های ماهانه خود، دائماً این نقاط ضعف را ترمیم می‏کند. به عنوان مثال، در ماه میلادی آوریل امسال، مایکروسافت بیش از ۳۰ نقطه ضعف در Kernel را یکجا ترمیم کرد. هزینه خرید یک نقطه ضعف ناشناخته از نوع kernel در دنیای زیرزمینی نفوذگران و خرابکاران، حدود ۱۰ هزار دلار است.

• با آلوده شدن یک کامپیوتر در شبکه، امکان دسترسی و آلوده ساختن دیگر کامپیوترها برای مرکز فرماندهی ویروس Duqu فراهم می‏شود. اگر کامپیوتر آلوده دسترسی مستقیم به اینترنت داشته باشد، ویروس با سرور مرکز فرماندهی ارتباط مستقیم برقرار می‏کند.
در شبکه‏هایی که برخی کامپیوترها به اینترنت وصل نیستند، ویروس Duqu روش خود را تغییر داده و کامپیوتر آلوده با استفاده از پودمان SMB یا Server Message Block با این کامپیوترها ارتباط برقرار می‏کند. از این طریق، فایل‏های ویروس و دستورات مرکز فرماندهی به این کامپیوترهای سالم منتقل می‏شود تا آنها نیز آلوده شده و ارتباط غیرمستقیم سرور فرماندهی با این کامپیوترها هم برقرار گردد. پودمان SMB یکی از پودمان های رایج سیستم عامل Windows برای به اشتراک گذاشتن فایل و چاپگرها است.

• طبق آخرین آمار، ویروس Duqu در شش سازمان و هشت کشور مشاهده شده است. کشورهای فرانسه، هند، ایران، هلند، سوئیس، سودان، اوکراین و ویتنام، هشت کشوری هستند که آلودگی به ویروس Duqu در آنها تائید شده است. البته گزارش‏های آلودگی تائید نشده‏ای هم از کشورهای مجارستان، اندونزی و انگلیس دریافت شده است.

• مرکز فرماندهی ویروس Duqu در ابتدا یک سرور در کشور هند بود که در هفته‏های گذشته، شناسایی و برچیده شد. هفته گذشته نیز یک سرور فرماندهی در کشور بلژیک شناسایی شد که آن هم از سرویس‏دهی خارج شده است.