ایتنا -در حال حاضر به غیر از برخی شباهت‌ها در نحوه رمزگذاری فایل‌ها، نقطه مشترکی بین SkyWiper و ویروس‌های Stuxnet و Duqu مشاهده نشده است.

شرکت McAfee با انتشار گزارش اولیه‌ای درباره ویروس Wiper یا Flame جزئیات کامل و دقیقی را از این ویروس مخرب ارائه کرد.

سوم اردیبهشت ماه سال جاری شاهد حمله سایبری به شبکه اینترنت و مخابرات وزارت نفت بودیم که خیلی زود، مشابهت این حملات جدید با حملات Stuxnet و Duqu مطرح گردید.
هفتم اردیبهشت نیز مرکز ماهر اطلاعات بیشتری درباره این حملات سایبری و بدافزاری که Flame نامیده شد، منتشر کرد.

به گزارش ایتنا از شبکه‌گستر، در مشاهدات و گزارشات اولیه درباره این بدافزار از نام Viper یا Wiper استفاده شده است.

بر اساس گزارش مرکز تحقیقات McAfee Labs، عملیات متنوع و پیچیده این بدافزار - که شرکت McAfee آن را SkyWiper می‌نامد - از طریق چندین مرکز کنترل و فرماندهی (Command and Control – C&C) مدیریت و هدایت می‌شود.
احتمال داده می‌شود که تعداد این مراکز فرماندهی بیش از ۱۰ مرکز باشد.

برای بررسی دقیق عملکرد ویروس‌های Stuxnet و Duqu ماه‌ها وقت صرف شد ولی در نگاه اول، پیش‌بینی می‌شود که بررسی و کسب اطلاعات دقیق درباره ویروس SkyWiper بسیار دشوارتر بوده و زمان بیشتری نیاز داشته باشد.
برای نمونه، یکی از بخش‌های کوچک و رمزگذاری شده بدافزار SkyWiper حاوی بیش از ۷۰ هزار سطر برنامه‌نویسی به زبان C است که شامل بیش از ۱۷۰ عبارت(string) رمزگذاری شده می‌باشد.
به نظر می‌رسد که این بدافزار طی چندین سال توسط یک گروه برنامه‌نویسی حرفه‌ای طراحی و تهیه شده است.

اکنون با بررسی گزارش‌های برخی شرکت‌های امنیتی و فایل‌های Log منتشر شده در تالارهای گفت‌وگو (Forums)، علائمی از فعالیت این بدافزار در سال‌های گذشته(حدود سال ۲۰۱۰ میلادی) در ایران و چند کشور اروپایی مشاهده شده است.
بر خلاف ویروس‌های رایج امروزی، این بدافزار به کندی از طریق حافظه‌های USB Flash انتشار می‌یابد تا جلب توجه نکرده و به عنوان یک رفتار مخرب توسط ابزارهای امنیتی شناسایی نشود.
برخی از فایل‌های مرتبط با ویروس SkyWiper در ظاهر متعلق به شرکت مایکروسافت می‌باشد. بعنوان مثال، یک فایل در ظاهر Windows Authentication Client نسخه ۵.۱ و شماره ساخت (Build) ۲۶۰۰ و متعلق به Microsoft Corporation است. ولی بررسی دقیق‌تر نشان می‌دهد که مانند ویروس‌های Stuxnet و Duqu هیچیک از فایل‌های بدافزار SkyWiper دارای Authentication Key معتبر نیستند.

مرکز کنترل و فرماندهی SkyWiper قادر است، نام و پسوند فایل‌های مخرب و مرتبط با این بدافزار را تغییر دهد. حتی تنظیمات مورد استفاده این فایل ها هم قابل تغییر هستند. بدین نحو، بدافزار SkyWiper می‌تواند خود را از دید ابزارهای امنیتی و از جمله ضدویروس‌ها مخفی نگهدارد.

در حال حاضر به غیر از برخی شباهت‌ها در نحوه رمزگذاری فایل‌ها، نقطه مشترکی بین SkyWiper و ویروس‌های Stuxnet و Duqu مشاهده نشده است. تنها پیچیدگی این بدافزارها و محل فعالیت عمده آنها که کشور ایران است، باعث به وجود آمدن این فرضیه و احتمال شده که حداقل این سه ویروس، پروژه‌های مشابهی بوده‌اند که در سال‌های گذشته به طور موازی اجرا شده‌اند.

اندازه برنامه اصلی SkyWiper بیش از ۶ مگابایت است و مجموعه کامل برنامه‌های این بدافزار حدود ۲۰ مگابایت فضا اشغال می‌کنند.
این حجم زیاد برای این بدافزار کمی تعجب آور است. کاربران با تجربه می‌دانند که ویروس نویسان برای انتشار راحت‌تر فایل‌های مخرب، اندازه فایل‌ها را کم نگه می دارند. اما ساختار پیچیده این بـدافـزار نیـاز به کتابخانه‌های پیچیده‌ای همچون Zlib، مفسر LUA و ... دارد که باعث ایجاد این حجم زیاد می‌شود.

آخرین تغییرات در فایل‌های بدافزار SkyWiper مربوط به بیش از یکسال گذشته (حدود زمستان ۸۹ و تابستان ۹۰) می‌شود. گر چه در برخی فایل‌ها به طور دستی، تاریخ ها از ۲۰۱۱ به ۱۹۹۴ تغییر داده شده اند.

بر اساس اطلاعات جمع آوری شده توسط McAfee Labs که در نقشه زیر نمایش داده شده است، بخش عمده آلودگی به بدافزار SkyWiper مربوط به ایران بوده و چند مورد پراکنده نیز در آمریکا مشاهده شده است.