بایگانی ماهیانه: خرداد ۱۳۹۱

درباره Flame

بدافزار Flame ، آنطور که مایکروسافت اعلام کرده، از یک تصادم (Collision) در بخشی از الگوریتمی امضای اجزای نرم افزار در ویندوز استفاده می کند  و ترکیب آن با گواهی سرویس Terminal Server Licensing منجر به امضای کدهای بدافزار و شناسایی آن به عنوان کد مجاز ویندوز می شود (البته امضای کد بدون استفاده از این تصادم هم ممکن است). در واقع سرویس Microsoft Update در این بدافزار مورد سوء استفاده قرار گرفته که این نشان دهنده عمق فاجعه است! حالا برای رفع آسیب پذیری مربوطه هم کامپیوترها باید به Microsoft Update مراجعه و وصله مربوطه را دریافت کنند!

گویا انتشار Flame به صورت خودکار نیست و این یعنی کنترل هدفمند بدافزار و پیشگیری از شناسایی آن از طریق انتشار بی رویه.

سوال و جواب درباره Flame.

کارگاه امنیت و رفتار انسان : موضوع جالبیه.

 

 

 

اشتراک گذاری

درباره بدافزار Flame یا Skywiper

کامل ترین گزارشی که در مورد بدافزار Flame ـ که با نام های Flamer و Skywiper هم شناخته می شود ـ تا به حال منتشر شده، گزارش آزمایشگاهی در یکی از دانشگاه های بوداپست است. این گزارش به طور کامل زوایای پیچیده این بدافزار شامل ساختار و نحوه عملکرد اجزا را بیان کرده است. به گفته این گزارش، skywiper یا flame پیچیده تر از آن است که در زمان محدود بتوان آن را تحلیل دقیق کرد و گزارش صرفاً یک تصویر کلی  از آن ارائه می کند. به گفته نویسنده، احتمال دارد که این بدافزار بین پنج تا هشت سال در اینترنت فعال بوده است! نشانه آن، گزارش دیده شدن برخی فایل های مربوط به آن در سال ۲۰۰۷ در اروپا (طبق این گزارش) و در امارات در سال ۲۰۰۸ و در ایران در سال ۲۰۱۰ است. به نظر می رسد که تاریخ انتشار این گزارش همزمان با اطلاعیه اولیه سایت ماهر مبنی بر شناسایی این بدافزار بوده است. ماهر ابزاری هم برای پاکسازی سیستم آلوده منتشر کرده است.

پرسش و پاسخ سایت securlist به قلم یکی از کارشناسان kaspersky هم جزئیات بسیار جالبی دارد. از جمله نحوه ورود شرکت kaspersky به این موضوع:

The ‘Flame’ cyber espionage worm came to the attention of our experts at Kaspersky Lab after the UN’s International Telecommunication Union came to us for help in finding an unknown piece of malware which was deleting sensitive information across the Middle East. While searching for that code – nicknamed Wiper – we discovered a new malware codenamed Worm.Win32.Flame.

سایت آنتی ویروس F-secure هم گزارش خلاصه ای از موضوع دارد که در آن به عدم موفقیت صنعت آنتی ویروس در موارد اخیر برخورد با بدافزارها اعتراف کرده است:

Stuxnet, Duqu and Flame are all examples of cases where we — the antivirus industry — have failed. All of these cases were spreading undetected for extended periods of time.

اشتراک گذاری