Flame بدافزاری بسیار پیشرفته است که هم اکنون به عنوان یک اسلحه سایبری برای هدف قرار دادن داراییها و اطلاعات، در چندین کشور از آن استفاده میشود. الکساندر گوستف، یکی از متخصصان کسپرسکی، Flame را اینگونه توصیف میکند: «بیگمان Flame را میتوان یکی از پیچیدهترین تهدیداتی بدانیم که جهان رایانهها تا به امروز به خود دیده است. این نرمافزار خرابکارانه دیدگاه نوینی از جنگ سایبری و جاسوسی کامپیوتری را پیش روی ما میگذارد.» کارشناسان Kaspersky Lab با کاوشهایی که از سوی اتحادیه بینالمللی مخابرات (ITU) ترتیب داده شده بود توانستند بر بدافزار Flame پیروز شده و آن را شناسایی کنند. این برنامه خرابکارانه به طور ویژه برای شنود کامپیوتری پدید آمده و توانایی دزدیدن دادههای باارزشی از این دست را دارد؛ دادههای نشان داده شده روی صفحه نمایش کامپیوتر هدف، داشتههای روی سیستمها، فایلهای ذخیره شده، گزارش تماسها و حتی صدای گفتوگوهای پیرامون رایانه از راه روشن کردن میکروفن آن از جمله اطلاعاتی است که Flame توانایی دزدیدن آنها را دارد. پیچیدگی و کارکرد این برنامه شنود، از تمام جنگافزارهای سایبری که تا به امروز شناخته شده بود، پا فراتر گذاشته است. Flame توانمندترین جنگافزار شنود تا به اکنون است و سازمانبندی آن به گونهای است که گمان میرود ردیابی آن، کاری نشدنی باشد. بیشتر بدافزارهای شناخته شده، ساختاری کوچک و پنهان دارند، ولی بزرگی Flame به این بدافزار امکان میدهد که به خوبی پنهان شده و شناسایی نشده بماند. Flame با بهرهگیری از روشهای کارشناسانه پیشرفتهای که پیشتر تنها در بدافزار استاکس نت به کار رفته بود، کامپیوترهای هدف را آلوده میکند. گمان میرود که Flame از ماه مارس ۲۰۱۰ فعال بودهاست، ولی پیش از Kaspersky Lab هیچ نرمافزار امنیتی نتوانسته است آن را شناسایی کند. هشدار زیان دیدگان بدافزار Flame، دامنه بزرگی از افراد حقیقی گرفته تا سازمانهای دولتی و ارگانهای آموزشی هستند. Flame نرمافزاری خرابکارانه و بسیار پیشرفته است که توانایی دزدیدن انبوهی از دادههای گوناگون و جورواجور را دارد. کارشناسان کسپرسکی همچنان به بررسی Flame ادامه میدهند و باید چشم به راه بود تا ببینیم چه دستاوردهایی از این جستوجوها را منتشر خواهند کرد. چگونه برابر این تهدید ایمن بمانیم؟ آخرین ویرایش ضدبدافزار Kaspersky Lab برای کسبوکارها و کاربران خانگی همه گونههای شناخته شده از بدافزار Flame که با برچسب Worm.Win32.Flame شناخته میشود را شناسایی کرده و از کامپیوتر شما دور نگاه میدارد.
شماری از قابلیت های مهم این بدافزار عبارتند از:
- انتشار از طریق حافظه های فلش
- انتشار در سطح شبكه
- پویش شبكه و جمع آوری و ثبت اطلاعات منابع شبكه و رمز عبور سیستم های مختلف
- پویش دیسك كامپیوتر آلوده و جستجو برای فایل هایی با پسوندها و محتوای مشخص
- تهیه تصویر از فعالیت های خاص كاربر سیستم آلوده با ذخیره سازی تصاویر نمایش داده شده بر روی مانیتور كاربر
- ذخیره سازی صوت دریافتی از طریق میكروفن سیستم در صورت وجود
- ارسال اطلاعات ذخیره شده به سرورهای كنترل خارج از كشور
- دارا بودن بیش از 10 دامنه مورد استفاده به عنوان سرور C&C
- برقراری ارتباط امن با سرورهای C&C از طریق پروتكل های SSH و HTTPS
- شناسایی و از كار انداختن بیش از 100 نرم افزار آنتی ویروس، ضد بدافزار، فایروال و ...
- قابلیت آلوده سازی سیستم های ویندوز XP، ویستا و ویندوز 7
- قابلیت آلوده سازی سیستم های یك شبكه در مقیاس بالا
وجود هریك از این نشانه ها بیانگر آلودگی سیستم به بدافزار flame است:
1- وجود كلید در مسیر: HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\Authentication
2- رجیستری در مسیر: Packages -> mssecmgr.ocx
3- فایل های اجرایی و تنظیمات آلودگی در مسیر های:
windows\system32\mssecmgr.ocx
Windows\System32\ccalc32.sys
Windows\System32\msglu32.ocx
Windows\System32\boot32drv.sys
Windows\System32\nteps32.ocx
Windows\System32\advnetcfg.ocx
Windows\System32\soapr32.ocx
Windows\System32\to961.tmp
Windows\ EF_trace.log
در پی انتشار خبر شناسایی بدافزار Flame توسط آزمایشگاه تحقیقاتی مركز ماهر، شركت های امنیتی سایمانتك، سوفوس، مك آفی، F-Secure و همچنین آزمایشگاه رمزنگاری دانشگاه فناوری و اقتصاد بوداپست نیز اقدام به انتشار اطلاعاتی در این مورد كرده و به خبر مركز ماهر ارجاع داده اند.
و اما مركز ماهر اقدام به انتشار راهنما و ابزار تشخیص و پاكسازی بدافزار Flame نموده است.
*' علی حكیم جوادی ' روز چهارشنبه در گفت وگو با خبرنگار ایرنا كشف این ویروس توسط یك شركت روسی را رد كرد و افزود: مجموعه ای كه ویروس را كشف كند به طور طبیعی باید آنتی ویروس آن را نیز بتواند تولید كند، در حالیكه ابزار پاك سازی ویروس (بد افزار) Flame (شعله آتش) از سوی مركز ماهر تولید شده است .
وی افزود: متاسفانه برخی شركت ها كه در حوزه تولید آنتی ویروس فعال هستند ، با دید تجاری می خواهند ، تولیدات دیگران را در كارنامه خود قرار دهند .
معاون وزیر ارتباطات و فناوری اطلاعات در مورد مدت زمان فعالیت این ویروس ابراز بی اطلاعی كرد و گفت: نخستین بار در دنیا ، ابزار پاك سازی بد افزار Flame (شعله آتش) از سوی مركز ماهر تولید و به زودی از طریق سایت مركز ماهر در اختیار كاربران قرار خواهد گرفت.
حكیم جوادی افزود: خبر شناسایی این بدافزار Flame (شعله آتش) برای نخستین بار از سوی مركز ماهر ایران اعلام شد كه طی چند روز گذشته مورد استناد نهادهای علمی و تخصصی این حوزه در سطح دنیا نظیر آزمایشگاه بدافزار مجارستان، سیمانتك، مك آفی، سوفاس و غیره قرار گرفت و رسانه های جهان از این اتفاق به عنوان موفقیت ایران در حوزه امنیت فضای مجازی یاد كردند.
وی افزود: با توجه به رفتارهایی كه این ویروس داشته ، متفاوت از ویروس قبلی و بسیار قوی تر از ویروس استاكس نت بود .
بر اساس گزارش سازمان فناوری اطلاعات ایران ، بدافزار Flame (شعله آتش) از جمله بدافزارهای پیچیده ای محسوب می شود كه برای انجام فعالیت خود دارای رمزنگاری های زیادی بوده و بر اساس آزمایش های صورت گرفته، از طریق 43 آنتی ویروس مختلف، امكان شناسایی این بدافزار وجود نداشته است.
همچنین با توجه به بررسی های تخصصی، به موقع و سریع صورت گرفته از سوی مركز ماهر ایران،ابزار شناسایی این بدافزار از 20 روز گذشته در اختیار بخش های كاربردی قرار گرفته است.
با توجه به اعلام مراكز بین المللی تخصصی در این حوزه، فلسطین، مجارستان، لبنان، استرالیا، سوریه، روسیه، هنگ كنگ و امارات از جمله كشورهایی هستند كه در حال حاضر مورد هدف این بدافزار قرار گرفته اند.
گفتنی است كه خبرگزاری رویترز چندی پیش خبرداد كه شركت روسی 'كسپرسكی لب' كه در زمینه تولید آنتی ویروس فعال است، توانسته یكی از پیچیدهترین ویروسهای اینترنتی را با نام Flame (فلیم) كشف كند.
شركت روسی كشف كننده این ویروس از ذكر نام شركت تولیدكنندهی احتمالی فلیم خودداری كرده، اما میگوید ویروس فلیم بیش از پنج سال است كه فعال شده است.
برای دانلود ابزار منتشر شده از مرکز ایرانی ماهر کلیک کنید :
منبع:خبر گزاری جمهوری اسلامی(ایرنا) . p30download