ایتنا - احتمالا انگیزه مهاجمان از حذف ویروس از سیستمهای آلوده، سعی در پنهان نگه داشتن زوایای ناشناخته عملکرد آن است تا پس از این عقبنشینی، درصدد حمله مجددی باشند.
جمعه ۱۹ خرداد ۱۳۹۱ ساعت ۱۵:۲۲
فرمان خودکشی بدافزار فلیم صادر شد
مطابق گزارش شرکت امنیتی سیمانتک، طراحان بدافزار Flamer در روزهای اخیر از طریق تعدادی از Serverهای کنترل کننده این ویروس (C&C Servers) فرمانهای جدیدی را برای سیستمهای آلوده شده ارسال کردهاند. این فرمانها در واقع دستور خودکشی به بدافزار Flamer است و باعث میشود که این بدافزار خودش را از روی سیستمهای آلوده Uninstall کند!
ویروس Flamer قابلیت ارتباط با تعداد زیادی Server کنترل کننده را دارا بوده است. پس از شناسایی ویروس، طراحان آن بسیاری از این Domainها و Serverها را غیرفعال کردهاند.
اما تعداد اندکی از C&C Serverها همچنان برای برقراری ارتباط با بخش خاصی از سیستمهای آلوده فعال هستند تا مهاجمان اجازه داشته باشند C&C Serverهای جدید و ناشناختهای را برای پروژه خود تعریف کنند و به عملیات سایبری خود به روشهای دیگری ادامه دهند.
سیستمهای آلوده شده طبق تنظیمات از قبل تعریف شدهای با C&C Serverها ارتباط برقرار میکنند تا فرمانهای جدید مهاجمان را دریافت کنند.
پس از برقراری ارتباط، C&C Server یک فایل بانام browse32.ocx برای کامپیوتر قربانی ارسال میکند. این فایل شامل فرمانهای جدیدی است که ویروس باید آن را به اجرا درآورد.
یکی از فرمانهایی که اخیرا ارسال شده است فرمان خودکشی ویروس(Uninstaller Command) است.
ویروس برای خودکشی خود لیستی طولانی از فایلها و Folderهای مختلف را حذف میکند و سپس با استفاده از کاراکترهای تصادفی آنها را(OverWrite) رونویسی میکند تا فایلهای متعلق به ویروس به هیچ وجه و با هیچ ابزاری قابل بازیابی نباشند.
لیست فایلها و Folderهایی که توسط ماژول خودکشی ویروس Flamer حذف میشوند به این شرح است:
Deleted files
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\audcache
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\audfilter.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\dstrlog.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\dstrlogh.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۳aaux.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۳afilter.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۳asound.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۴aaux.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۴afilter.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۴asound.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۵aaux.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۵afilter.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۵asound.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\mlcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\mpgaaux.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\mpgaud.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\qpgaaux.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\srcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\wavesup۳.drv
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\wpgfilter.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\authcfg.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\ctrllist.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\lmcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\ntcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\posttab.bin
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\secindex.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\tokencpt
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\dmmsap.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\domm.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\domm۲.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\domm۳.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\dommt.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\dstrlog.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\dstrlogh.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\lmcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\Lncache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\ltcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\mscorest.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\mscrol.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\mscrypt.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\mspovst.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\msrovst.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\msrsysv.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\msvolrst.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\nt۲cache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\ntcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\rccache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\rdcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\rmcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\ssitable
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\syscache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\syscache۳.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\audtable.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\fmpidx.bin
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\lmcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\lrlogic
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\mixercfg.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\mixerdef.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\ntcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\sndmix.drv
•%SystemDrive%\system۳۲\msglu۳۲.ocx
•%SystemDrive%\Temp\~۸C۵FF۶C.tmp
•%Temp%\~*
•%Temp%\~a۲۸.tmp
•%Temp%\~a۳۸.tmp
•%Temp%\~DF۰۵AC۸.tmp
•%Temp%\~DFD۸۵D۳.tmp
•%Temp%\~DFL۵۴۲.tmp
•%Temp%\~DFL۵۴۳.tmp
•%Temp%\~DFL۵۴۴.tmp
•%Temp%\~DFL۵۴۵.tmp
•%Temp%\~DFL۵۴۶.tmp
•%Temp%\~dra۵۱.tmp
•%Temp%\~dra۵۲.tmp
•%Temp%\~dra۵۳.tmp
•%Temp%\~dra۶۱.tmp
•%Temp%\~dra۷۳.tmp
•%Temp%\~fghz.tmp
•%Temp%\~HLV۰۸۴.tmp
•%Temp%\~HLV۲۹۴.tmp
•%Temp%\~HLV۴۷۳.tmp
•%Temp%\~HLV۷۵۱.tmp
•%Temp%\~HLV۹۲۷.tmp
•%Temp%\~KWI۹۸۸.tmp
•%Temp%\~KWI۹۸۹.tmp
•%Temp%\~mso۲a۰.tmp
•%Temp%\~mso۲a۱.tmp
•%Temp%\~mso۲a۲.tmp
•%Temp%\~rei۵۲۴.tmp
•%Temp%\~rei۵۲۵.tmp
•%Temp%\~rf۲۸۸.tmp
•%Temp%\~rft۳۷۴.tmp
•%Temp%\~TFL۸۴۸.tmp
•%Temp%\~TFL۸۴۹.tmp
•%Temp%\~ZFF۰۴۲.tmp
•%Temp%\comspol۳۲.ocx
•%Temp%\GRb۹M۲.bat
•%Temp%\indsvc۳۲.ocx
•%Temp%\scaud۳۲.exe
•%Temp%\scsec۳۲.exe
•%Temp%\sdclt۳۲.exe
•%Temp%\sstab.dat
•%Temp%\sstab۱۵.dat
•%Temp%\winrt۳۲.dll
•%Temp%\winrt۳۲.ocx
•%Temp%\wpab۳۲.bat
•%Temp%\wpab۳۲.bat
•%Windir%\Ef_trace.log
•%Windir%\Prefetch\Layout.ini
•%Windir%\Prefetch\NTOSBOOT-B۰۰DFAAD.pf
•%Windir%\repair\default
•%Windir%\repair\sam
•%Windir%\repair\security
•%Windir%\repair\software
•%Windir%\repair\system
•%Windir%\system۳۲\advnetcfg.ocx
•%Windir%\system۳۲\advpck.dat
•%Windir%\system۳۲\aud*
•%Windir%\system۳۲\authpack.ocx
•%Windir%\system۳۲\boot۳۲drv.sys
•%Windir%\system۳۲\ccalc۳۲.sys
•%Windir%\system۳۲\commgr۳۲.dll
•%Windir%\system۳۲\comspol۳۲.dll
•%Windir%\system۳۲\comspol۳۲.ocx
•%Windir%\system۳۲\config\default.sav
•%Windir%\system۳۲\config\sam.sav
•%Windir%\system۳۲\config\security.sav
•%Windir%\system۳۲\config\software.sav
•%Windir%\system۳۲\config\system.sav
•%Windir%\system۳۲\config\userdiff.sav
•%Windir%\system۳۲\ctrllist.dat
•%Windir%\system۳۲\indsvc۳۲.dll
•%Windir%\system۳۲\indsvc۳۲.ocx
•%Windir%\system۳۲\lrl*
•%Windir%\system۳۲\modevga.com
•%Windir%\system۳۲\mssecmgr.ocx
•%Windir%\system۳۲\mssui.drv
•%Windir%\system۳۲\mssvc۳۲.ocx
•%Windir%\system۳۲\ntaps.dat
•%Windir%\system۳۲\nteps۳۲.ocx
•%Windir%\system۳۲\pcldrvx.ocx
•%Windir%\system۳۲\rpcnc.dat
•%Windir%\system۳۲\scaud۳۲.exe
•%Windir%\system۳۲\sdclt۳۲.exe
•%Windir%\system۳۲\soapr۳۲.ocx
•%Windir%\system۳۲\ssi*
•%Windir%\system۳۲\sstab.dat
•%Windir%\system۳۲\sstab۰.dat
•%Windir%\system۳۲\sstab۱.dat
•%Windir%\system۳۲\sstab۱۰.dat
•%Windir%\system۳۲\sstab۱۱.dat
•%Windir%\system۳۲\sstab۱۲.dat
•%Windir%\system۳۲\sstab۲.dat
•%Windir%\system۳۲\sstab۳.dat
•%Windir%\system۳۲\sstab۴.dat
•%Windir%\system۳۲\sstab۵.dat
•%Windir%\system۳۲\sstab۶.dat
•%Windir%\system۳۲\sstab۷.dat
•%Windir%\system۳۲\sstab۸.dat
•%Windir%\system۳۲\sstab۹.dat
•%Windir%\system۳۲\tok*
•%Windir%\system۳۲\watchxb.sys
•%Windir%\system۳۲\winconf۳۲.ocx
Deleted folders
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix
تمام سیستمهای آلودهای که فرمان خودکشی را دریافت کردهاند ویروس Flamer از روی آنها بطور کامل حذف شده است و دیگر هیچ اثری از آن دیده نمیشود.
همانگونه که پیشتر گفته شد ویروس Flamer دارای ساختاری ماژولار است.
در تحلیلهای گذشته مشخص شده بود که یک ماژول بنام SUICIDE (که بسیار شبیه Browse32.ocx است) در بدافزار استفاده شده است که کار آن خودکشی ویروس بوده است. اما در ارسال فرمان خودکشی اخیر مهاجمان از آن استفاده نکردهاند.
هنوز انگیزه مهاجمان از عدم استفاده از این ماژول آماده، مشخص نیست.
به نظر میرسد انگیزه اصلی مهاجمان از حذف ویروس از سیستمهای آلوده، سعی در پنهان نگه داشتن زوایای ناشناخته عملکرد این ویروس بوده است و دور از ذهن نیست که مهاجمان پس از این عقبنشینی، درصدد حمله مجددی باشند.
جهت کسب اطلاعات بیشتر و نیز توصیههای فنی، میتوانید به سایت شرکت آینده نگاران (نماینده سیمانتک) مراجعه نمایید.
کد مطلب: 22426
