[Amir Shahbazzadeh]

آشکارکننده روت‌کیت

آشکارکننده روت‌کیت (به انگلیسی: RootkitRevealer) یک نرم‌افزار رایگان برای شناسایی روت‌کیت‌ها در سیستم‌عامل ویندوز است و توسط مارک روسنویچ در شرکت سیس‌اینترنالز از شرکت‌های وابسته به مایکروسافت ارائه شده‌است. این نرم‌افزار بر روی ویندوزهای نسخه ان‌تی فور و جدیدتر اجرا می‌شود و پس از اسکن کردن سیستم یک فهرست از فایل‌های محضرخانه ویندوز و سیستمی را نشان می‌دهد که احتمالاً بر اثر روت‌کیت‌های کاربر حالت و کرنل حالت ایجاد شده‌اند. نرم‌افزار آشکارکننده روت‌کیت فقط برروی ویندوزهای ایکس‌پی و سرور ۲۰۰۳ اجرا می‌شود و اولین نرم‌افزاری بود که قفل نرم‌افزاری سونی (XCP) را بعنوان روت‌کیت شناسایی کرد.

استارس

ویروس استارس (به انگلیسی: Stars) یک ویروس رایانه‌ای است که در آوریل ۲۰۱۱ در ایران شناسایی شد. این ویروس که از خانوادهٔ استاکس‌نت دانسته می‌شود، خود را در میان پرونده‌های پی‌دی‌اف مخفی می‌کند. به گفته رئیس سازمان پدافند غیر عامل ایران، استارس ممکن است با فایلهای اجرایی دستگاههای دولتی ایران اشتباه گرفته شود.

استاکس‌نت

استاکس‌نت (به انگلیسی: Stuxnet) یک بدافزار رایانه‌ای‌ (طبق نظر شرکت‌های نرم‌افزار امنیت رایانه‌ای: کرم رایانه‌ای یا تروجان) است که اولین‌بار در تاریخ ۱۳ جولای ۲۰۱۰ توسط ضدویروس وی‌بی‌ای۳۲ شناسایی شد. این بدافزار با استفاده از نقص امنیتی موجود در میانبرهای ویندوز، با آلوده کردن رایانه‌های کاربران صنعتی، فایل‌های با قالب اسکادا که مربوط به نرم‌افزارهای WinCC و PCS7 شرکت زیمنس می‌باشد را جمع‌آوری کرده و به یک سرور خاص ارسال می‌کند.

براساس نظر کارشناسان شرکت سیمانتک، این بدافزار به دنبال خرابکاری در تأسیسات غنی‌سازی اورانیوم نطنز بوده‌است.

1- انتشار
2-عملکرد
3-هدف
4-پیشگیری و پاکسازی

انتشار
این بدافزار در اواسط تیرماه ۱۳۸۹ در سراسر جهان انتشار یافت. نخستین بار کارشناسان کامپیوتری بلاروس متوجه وجود ویروسی شدند که هدف آن سامانه‌های هدایتگر تأسیسات صنعتی با سیستم عامل ویندوز است. کارشناسان معتقدند طراحان این بدافزار یک منطقه جغرافیایی خاص را مدنظر داشته‌اند و طبق گزارش مجله Business week هدف از طراحی این بدافزار دستیابی به اطلاعات صنعتی ایران است. این بدافزار برای جلوگیری از شناسایی شدن خود از امضای دیجیتال شرکت Realtek استفاده می‌کند. روزنامه نیویورک تایمز در تاریخ ۱۶ ژانویه ۲۰۱۱ میلادی، در مقاله‌ای مدعی شد که «اسرائیل استاکس‌نت را در مرکز اتمی دیمونا و بر روی سانتریفیوژهای مشابه‌ای که ایران از آن‌ها در تاسیسات غنی‌سازی اورانیوم نطنز استفاده می‌کند، با موفقیت آزمایش کرده‌بود». این در حالی‌ست که دولت اسرائیل یا دولت آمریکا هیچ‌گاه به طور رسمی دست‌داشتن در انتشار استاکس‌نت را تایید نکرده‌اند.

وزیر ارتباطات ایران در آبان ۱۳۸۹ اعلام کرد که رایانه‌های آلوده شده به این ویروس شناسایی و در مرحله پاکسازی قرار دارند. وی همچنین اظهار کرد که منشاء ورود این ویروس به ایران نه از طریق شبکه اینترنت بلکه از طریق حافظه‌های جانبی بوده که افرادی از خارج از کشور به ایران آورده و بدون بررسی لازم به کامپیوترهای در داخل ایران متصل کرده‌اند. هفته‌نامهٔ اشپیگل در مقاله‌ای این احتمال را مطرح كرده است که این ویروس ناخواسته توسط کارشناسان شرکت اتم‌ استروی ‌اکسپورت روسیه و به وسیله یک حافظه جانبی فلش به رایانه‌های نیروگاه اتمی بوشهر منتقل شده است.

عملکرد

استاکس‌نت از طریق رایانامه و حافظه‌های جانبی منتشر می‌شود.این بدافزار پس از آلوده ساختن سیستم، فایل‌های زیر را در سیستم کپی می‌نماید:

کد [انتخاب] Expand


     %Windir%\inf\mdmcpq3.PNF
     %Windir%\inf\mdmeric3.PNF
     %Windir%\inf\oem6C.PNF323
     %Windir%\inf\oem7A.PNF
     %windir%\system32\drivers\mrxcls.sys
     %windir%\system32\drivers\mrxnet.sys

و برای راه‌اندازی سرویس‌های خود پس از بالا آمدن ویندوز کلیدهای زیر را در رجیستری ویندوز نصب می‌کند:

کد [انتخاب] Expand


    HKLM\System\CurrentControlSet\Services\Services\MRxNet
    HKLM\System\CurrentControlSet\Services\Services\MRxCls

سپس این بدافزار در حافظه سیستم مقیم شده و برای عبور از دیوار آتش سیستم، کدهای خود را به اینترنت اکسپلورر تزریق می‌کند و پس از جمع آوری اطلاعات مربوط به شبکه‌ها و پیکربندی آنها در رایانه قربانی سعی به ارتباط با وب‌گاه‌های زیر از طریق راه دور می‌کند:

 

کد [انتخاب] Expand

  [url=http://www.windowsupdate.com]www.windowsupdate.com[/url]
    [url=http://www.msn.com]www.msn.com[/url]
    [url=http://www.mypremierfutbol.com]www.mypremierfutbol.com[/url]
    [url=http://www.todaysfutbol.com]www.todaysfutbol.com[/url]

استاکس نت همچنین برای گسترش و انتشار خود در سیستم‌های دیگر، فایل‌های زیر را در حافظه‌های جانبی که به رایانه‌های آلوده شده متصل شوند، کپی می‌کند :

     %

کد [انتخاب] Expand

DriveLetter%\~WTR4132.tmp
     %DriveLetter%\~WTR4141.tmp
     %DriveLetter%\Copy of Shortcut to.lnk
     %DriveLetter%\Copy of Copy of Shortcut to.lnk
     %DriveLetter%\Copy of Copy of Copy of Shortcut to.lnk
     %DriveLetter%\Copy of Copy of Copy of Copy of Shortcut to.lnk

هدف

بنابر اظهارنظر کارشناسان سیمانتک، این بدافزار سیستم‌هایی را هدف قرار داده است که دارای یک مبدل فرکانس هستند که نوعی دستگاه برای کنترل سرعت موتور است. بدافزار استاکس نت به دنبال مبدل‌هایی از یک شرکت در فنلاند و یا تهران بوده است. استاکس نت به دنبال این دستگاه‌ها بر روی سیستم قربانی می‌گردد و فرکانسی را که دستگاه‌های مذکور با آن کار می‌کنند، شناسایی کرده و به دنبال بازه‌ای از ۸۰۰ تا ۱۲۰۰ هرتز می‌گردد. دستگاه‌های صنعتی که از این مبدل استفاده کنند بسیار محدود هستند و غالباً در تاسیسات غنی‌سازی اورانیوم استفاده می‌شوند. هدف استاکس نت را نمی‌توان نیروگاه‌های هسته‌ای ایران دانست؛ به این دلیل که در این مراکز از این مبدل‌ها استفاده نمی‌شود. بنابراین مرکز غنی‌سازی نطنز تنها مرکز است که می‌تواند هدف احتمالی آن قرار گیرد.

این بدافزار فرکانس‌های مبدل را ابتدا تا بالاتر از ۱۴۰۰ هرتز بالا می‌برد و سپس آن را تا کمتر از ۲ هرتز پایین می‌آورد و سپس آن را فقط برای بالاتر از ۱۰۰۰ هرتز تنظیم می‌کند. در اصل، این بدافزار سرعتی را که موتور با آن کار می‌کند، به هم می‌ریزد که می‌تواند منجر شود هر اتفاقی بیفتد. برای مثال کیفیت محصول پایین آید و یا اینکه اصلاً تولید نشود، مثلاً تأسیسات غنی سازی نمی‌توانند به درستی اورانیوم را غنی سازی کند. این کار همچنین می‌تواند منجر به خرابی موتور به صورت فیزیکی نیز بشود.

پیشگیری و پاکسازی

برای پاکسازی سیستم بصورت دستی ابتدا باید سیستم ریستور را غیر فعال نمود سپس در حالت سیف مد تمام فایل‌ها و کلیدهای کپی شده توسط بدافزار در سیستم را پاک کرد. همچنین برای پیشگیری از آلوده شدن به استاکس‌نت لازم است نقص امنیتی موجود در ویندوز را با استفاده از اصلاحیه منتشر شده توسط مایکروسافت برطرف کرد.

روت‌کیت

روت‌کیت (به انگلیسی: Rootkit) مجموعه‌ای از نرم‌افزارهاست که کنترل یک سیستم رایانه‌ای را به دست می‌گیرد. در این نوع حمله، کاربر سیستم متوجه حضور روت‌کیت نخواهد شد و هکر رایانه توانایی تغییر تمامی تنظیمات رایانه را دارد.

رایانه‌ای که تحت سلطه روت‌کیت و نهایتاً هکر قرار می‌گیرد را زامبی (به انگلیسی: Zombie) می‌نامند. اگر ضایعه‌ای در شبکه رایانه‌ها پیدا شود، با پیگیری آن به زامبی می‌رسیم و هکر نمی‌تواند ردیابی شود.

روت‌کیت بدافزارهایی هستند که اغلب، ﺁ‌نها را به خودی خود نمی‌توان مخرب یا خطرناک دانست، بلکه قرار گرفتن ﺁنها در کنار ویروس‌ها‌ یا کرم‌های اینترنتی یا نوع استفاده از ﺁن‌هاست که به ﺁنان ماهیتی خطرناک می‌بخشد. به عنوان یک تعریف می‌توان گفت که روت‌کیت ابزاری نرم‌افزاری است که بوسیله ﺁن این امکان وجود دارد تا فایل، پروسه یا کلیدی خاص در رجیستری را پنهان نمود. روت‌کیت‌ها اغلب در سطح سیستم‌عامل فعالیت کرده و با تغییراتی که در سیستم‌عامل یا منابع ﺁن انجام می‌دهند، به مقاصد خود دست پیدا می‌کنند. به علت قابلیت پنهان‌سازی قوی اینگونه برنامه‌ها، شناسایی ﺁن‌ها یا برنامه‌هایی که توسط ﺁنها پنهان گردیده اغلب مشکل بوده و این امر می‌تواند مشکلاتی را برای کاربران بوجود ﺁورد. به عنوان مثال برخی از روت‌کیت‌ها پس از اجرا بر روی سیستم کاربر، کرمی را از دل خود بیرون ﺁورده و بر روی سیستم کاربر اجرا می نمایند. سپس با قابلیت‌های خاص خود ﺁن‌را از دید کاربر مخفی می‌کنند و کرم مزبور به راحتی به فعالیت‌های مخرب خود به دور از چشم کاربر ادامه می‌دهد.