ایتنا - این بدافزار ضمن پیروی از الگوی خاصی برای حذف فایلها و توجه به نوع آنها، در پاک کردن حجم بزرگی از دادهها(چند گیگابایت) که قاعدتا زمان زیادی را طلب میکند، نیز بسیار کارامد عمل کرده است.
شنبه ۱۱ شهريور ۱۳۹۱ ساعت ۱۱:۲۱
حقایقی درباره بدافزار Wiper
آزمایشگاه کسپرسکی یافته های جدیدی درخصوص بدافزار Wiper منتشر کرده است.
به گزارش ایتنا، پس از وقوع حملات سایبری به مراکزی در ایران که منجر به کشف بدافزارهای فلیم و در ادامه گاوس گردید، هم اکنون یافتههای جدید نشان میدهد که بدافزار وایپر نیز وجودی مستقل از فلیم داشته است.
براساس این گزارش، حملاتی که در دسامبر ۲۰۱۱ و آوریل ۲۰۱۲ (فروردین ماه ۱۳۹۱) توسط این بدافزار به مراکزی در ایران و چند کشور دیگر صورت گرفت، از قدرت تخریبی بسیار بالایی برخوردار بود.
الگوریتم بدافزار دارای هوشمندی بسیاری در پاک کردن ردپای فعالیتهای انجام گرفته و همچنین تخریب دادههای هارددیسکها بوده است.
این گزارش میافزاید عملکرد این بدافزار به نحوی بود که از راهاندازی مجدد کامپیوترها و انجام فعالیتهای متعارف جلوگیری کرده و همزمان میتوانست تا چند گیگابایت از اطلاعات را حدف نماید.
ضمن آنکه عملیات تخریب(پاک کردن دادهها) ابتدا در نیمی از هارد دیسک و با سرعت انجام میگرفت و چنانچه بدافزار امکان ادامه فعالیت را مییافت، به پاک کردن نیمه دیگر دادهها اقدام مینمود تا سیستم به طور کامل از کار میافتاد.
کارشناسان کسپرسکی با تحلیل هارددیسکهای آلوده به وایپر دریافتهاند که این بدافزار ضمن پیروی از الگوی خاصی برای حذف فایلها و توجه به نوع آنها، در پاک کردن حجم بزرگی از دادهها(چند گیگابایت) که قاعدتا زمان زیادی را طلب میکند، نیز بسیار کارامد عمل کرده است.
به عنوان نمونه در تصویر زیر، مناطقی که حذف دادهها با شدت انجام گرفته با رنگ قرمز و مناطق با رنگ خاکستری با شدت کمتری تخریب شدهاند. در نتیجه مشاهده میشود که نحوه تخریب دادهها به صورت کاملا موفق انجام گرفته و در نیمه نخست کامل شده است.
سایر فضاهای هارددیسک یعنی فضای میانی و فضای انتهایی نیز در فاز بعدی مورد هجوم واقع میشدند تا آنکه سیستم به طور کامل از کار بیفتد و هیچ دادهای روی آن باقی نماند.
این گزارش اضافه میکند که نحوه نامگذاری فایلهای بیمعنا توسط این بدافزار(زیرا پاک کردن دادهها از طریق دوباره نویسی فایلهای زائد روی آنها صورت میگیرد) مشابه نامهای استفاده شده در فلیم و دوکو است. به عنوان نمونه ~DF*.tmp و ~DE*.tmp از همین قاعده پیروی میکنند.
نتیجه گیری
بررسیهای متخصصان نشان میدهد که:
- ممکن است ما هرگز پی به علت اصلی انتشار این بدافزار نبریم. اما میدانیم که وایپر به طور مستقیم به فلیم مرتبط نبوده است.
- ممکن است برخی ادعا کنند که این بدافزار تنها به دلیل آسیب رساندن به دادههای برخی دستگاههای خاص در مراکزی خاص طراحی شده باشد. اما ما به چنین نتیجهای نرسیدیم.
- وایپر ممکن است با دوکو و استاکس نت مرتبط باشد، اما در این خصوص مطمئن نیستیم.
- وایپر عملکرد موفقی داشته و دنباله روی آن بدافزارهایی مانند شامون هستند.
- فعالیت وایپر باعث شد که بدافزاری مانند فلیم آشکارسازی شود. اما سئوال اساسی اینجاست که اگر طراحان دوکو/ استاکس نت/ فلیم در کار طراحی این بدافزار نیز شراکت داشتهاند، چرا با وایپر باعث لو رفتن فعالیتهای سایر بدافزارهایشان شدهاند؟
کد مطلب: 23406
دانلود رایگان متن کامل گزارش فلیم
