آشکارکننده روتکیت
آشکارکننده روتکیت (به انگلیسی: RootkitRevealer) یک نرمافزار رایگان برای شناسایی روتکیتها در سیستمعامل ویندوز است و توسط مارک روسنویچ در شرکت سیساینترنالز از شرکتهای وابسته به مایکروسافت ارائه شدهاست. این نرمافزار بر روی ویندوزهای نسخه انتی فور و جدیدتر اجرا میشود و پس از اسکن کردن سیستم یک فهرست از فایلهای محضرخانه ویندوز و سیستمی را نشان میدهد که احتمالاً بر اثر روتکیتهای کاربر حالت و کرنل حالت ایجاد شدهاند. نرمافزار آشکارکننده روتکیت فقط برروی ویندوزهای ایکسپی و سرور ۲۰۰۳ اجرا میشود و اولین نرمافزاری بود که قفل نرمافزاری سونی (XCP) را بعنوان روتکیت شناسایی کرد.
استارس
ویروس استارس (به انگلیسی: Stars) یک ویروس رایانهای است که در آوریل ۲۰۱۱ در ایران شناسایی شد. این ویروس که از خانوادهٔ استاکسنت دانسته میشود، خود را در میان پروندههای پیدیاف مخفی میکند. به گفته رئیس سازمان پدافند غیر عامل ایران، استارس ممکن است با فایلهای اجرایی دستگاههای دولتی ایران اشتباه گرفته شود.
استاکسنتاستاکسنت (به انگلیسی: Stuxnet) یک بدافزار رایانهای (طبق نظر شرکتهای نرمافزار امنیت رایانهای: کرم رایانهای یا تروجان) است که اولینبار در تاریخ ۱۳ جولای ۲۰۱۰ توسط ضدویروس ویبیای۳۲ شناسایی شد. این بدافزار با استفاده از نقص امنیتی موجود در میانبرهای ویندوز، با آلوده کردن رایانههای کاربران صنعتی، فایلهای با قالب اسکادا که مربوط به نرمافزارهای WinCC و PCS7 شرکت زیمنس میباشد را جمعآوری کرده و به یک سرور خاص ارسال میکند.
براساس نظر کارشناسان شرکت سیمانتک، این بدافزار به دنبال خرابکاری در تأسیسات غنیسازی اورانیوم نطنز بودهاست.
1- انتشار
2-عملکرد
3-هدف
4-پیشگیری و پاکسازی
انتشار این بدافزار در اواسط تیرماه ۱۳۸۹ در سراسر جهان انتشار یافت. نخستین بار کارشناسان کامپیوتری بلاروس متوجه وجود ویروسی شدند که هدف آن سامانههای هدایتگر تأسیسات صنعتی با سیستم عامل ویندوز است. کارشناسان معتقدند طراحان این بدافزار یک منطقه جغرافیایی خاص را مدنظر داشتهاند و طبق گزارش مجله Business week هدف از طراحی این بدافزار دستیابی به اطلاعات صنعتی ایران است. این بدافزار برای جلوگیری از شناسایی شدن خود از امضای دیجیتال شرکت Realtek استفاده میکند. روزنامه نیویورک تایمز در تاریخ ۱۶ ژانویه ۲۰۱۱ میلادی، در مقالهای مدعی شد که «اسرائیل استاکسنت را در مرکز اتمی دیمونا و بر روی سانتریفیوژهای مشابهای که ایران از آنها در تاسیسات غنیسازی اورانیوم نطنز استفاده میکند، با موفقیت آزمایش کردهبود». این در حالیست که دولت اسرائیل یا دولت آمریکا هیچگاه به طور رسمی دستداشتن در انتشار استاکسنت را تایید نکردهاند.
وزیر ارتباطات ایران در آبان ۱۳۸۹ اعلام کرد که رایانههای آلوده شده به این ویروس شناسایی و در مرحله پاکسازی قرار دارند. وی همچنین اظهار کرد که منشاء ورود این ویروس به ایران نه از طریق شبکه اینترنت بلکه از طریق حافظههای جانبی بوده که افرادی از خارج از کشور به ایران آورده و بدون بررسی لازم به کامپیوترهای در داخل ایران متصل کردهاند. هفتهنامهٔ اشپیگل در مقالهای این احتمال را مطرح كرده است که این ویروس ناخواسته توسط کارشناسان شرکت اتم استروی اکسپورت روسیه و به وسیله یک حافظه جانبی فلش به رایانههای نیروگاه اتمی بوشهر منتقل شده است.
عملکرداستاکسنت از طریق رایانامه و حافظههای جانبی منتشر میشود.این بدافزار پس از آلوده ساختن سیستم، فایلهای زیر را در سیستم کپی مینماید:
%Windir%\inf\mdmcpq3.PNF
%Windir%\inf\mdmeric3.PNF
%Windir%\inf\oem6C.PNF323
%Windir%\inf\oem7A.PNF
%windir%\system32\drivers\mrxcls.sys
%windir%\system32\drivers\mrxnet.sys
و برای راهاندازی سرویسهای خود پس از بالا آمدن ویندوز کلیدهای زیر را در رجیستری ویندوز نصب میکند:
HKLM\System\CurrentControlSet\Services\Services\MRxNet
HKLM\System\CurrentControlSet\Services\Services\MRxCls
سپس این بدافزار در حافظه سیستم مقیم شده و برای عبور از دیوار آتش سیستم، کدهای خود را به اینترنت اکسپلورر تزریق میکند و پس از جمع آوری اطلاعات مربوط به شبکهها و پیکربندی آنها در رایانه قربانی سعی به ارتباط با وبگاههای زیر از طریق راه دور میکند:
[url=http://www.windowsupdate.com]www.windowsupdate.com[/url]
[url=http://www.msn.com]www.msn.com[/url]
[url=http://www.mypremierfutbol.com]www.mypremierfutbol.com[/url]
[url=http://www.todaysfutbol.com]www.todaysfutbol.com[/url]
استاکس نت همچنین برای گسترش و انتشار خود در سیستمهای دیگر، فایلهای زیر را در حافظههای جانبی که به رایانههای آلوده شده متصل شوند، کپی میکند : %
DriveLetter%\~WTR4132.tmp
%DriveLetter%\~WTR4141.tmp
%DriveLetter%\Copy of Shortcut to.lnk
%DriveLetter%\Copy of Copy of Shortcut to.lnk
%DriveLetter%\Copy of Copy of Copy of Shortcut to.lnk
%DriveLetter%\Copy of Copy of Copy of Copy of Shortcut to.lnk
هدفبنابر اظهارنظر کارشناسان سیمانتک، این بدافزار سیستمهایی را هدف قرار داده است که دارای یک مبدل فرکانس هستند که نوعی دستگاه برای کنترل سرعت موتور است. بدافزار استاکس نت به دنبال مبدلهایی از یک شرکت در فنلاند و یا تهران بوده است. استاکس نت به دنبال این دستگاهها بر روی سیستم قربانی میگردد و فرکانسی را که دستگاههای مذکور با آن کار میکنند، شناسایی کرده و به دنبال بازهای از ۸۰۰ تا ۱۲۰۰ هرتز میگردد. دستگاههای صنعتی که از این مبدل استفاده کنند بسیار محدود هستند و غالباً در تاسیسات غنیسازی اورانیوم استفاده میشوند. هدف استاکس نت را نمیتوان نیروگاههای هستهای ایران دانست؛ به این دلیل که در این مراکز از این مبدلها استفاده نمیشود. بنابراین مرکز غنیسازی نطنز تنها مرکز است که میتواند هدف احتمالی آن قرار گیرد.
این بدافزار فرکانسهای مبدل را ابتدا تا بالاتر از ۱۴۰۰ هرتز بالا میبرد و سپس آن را تا کمتر از ۲ هرتز پایین میآورد و سپس آن را فقط برای بالاتر از ۱۰۰۰ هرتز تنظیم میکند. در اصل، این بدافزار سرعتی را که موتور با آن کار میکند، به هم میریزد که میتواند منجر شود هر اتفاقی بیفتد. برای مثال کیفیت محصول پایین آید و یا اینکه اصلاً تولید نشود، مثلاً تأسیسات غنی سازی نمیتوانند به درستی اورانیوم را غنی سازی کند. این کار همچنین میتواند منجر به خرابی موتور به صورت فیزیکی نیز بشود.
پیشگیری و پاکسازی برای پاکسازی سیستم بصورت دستی ابتدا باید سیستم ریستور را غیر فعال نمود سپس در حالت سیف مد تمام فایلها و کلیدهای کپی شده توسط بدافزار در سیستم را پاک کرد. همچنین برای پیشگیری از آلوده شدن به استاکسنت لازم است نقص امنیتی موجود در ویندوز را با استفاده از اصلاحیه منتشر شده توسط مایکروسافت برطرف کرد.
روتکیتروتکیت (به انگلیسی: Rootkit) مجموعهای از نرمافزارهاست که کنترل یک سیستم رایانهای را به دست میگیرد. در این نوع حمله، کاربر سیستم متوجه حضور روتکیت نخواهد شد و هکر رایانه توانایی تغییر تمامی تنظیمات رایانه را دارد.
رایانهای که تحت سلطه روتکیت و نهایتاً هکر قرار میگیرد را زامبی (به انگلیسی: Zombie) مینامند. اگر ضایعهای در شبکه رایانهها پیدا شود، با پیگیری آن به زامبی میرسیم و هکر نمیتواند ردیابی شود.
روتکیت بدافزارهایی هستند که اغلب، ﺁنها را به خودی خود نمیتوان مخرب یا خطرناک دانست، بلکه قرار گرفتن ﺁنها در کنار ویروسها یا کرمهای اینترنتی یا نوع استفاده از ﺁنهاست که به ﺁنان ماهیتی خطرناک میبخشد. به عنوان یک تعریف میتوان گفت که روتکیت ابزاری نرمافزاری است که بوسیله ﺁن این امکان وجود دارد تا فایل، پروسه یا کلیدی خاص در رجیستری را پنهان نمود. روتکیتها اغلب در سطح سیستمعامل فعالیت کرده و با تغییراتی که در سیستمعامل یا منابع ﺁن انجام میدهند، به مقاصد خود دست پیدا میکنند. به علت قابلیت پنهانسازی قوی اینگونه برنامهها، شناسایی ﺁنها یا برنامههایی که توسط ﺁنها پنهان گردیده اغلب مشکل بوده و این امر میتواند مشکلاتی را برای کاربران بوجود ﺁورد. به عنوان مثال برخی از روتکیتها پس از اجرا بر روی سیستم کاربر، کرمی را از دل خود بیرون ﺁورده و بر روی سیستم کاربر اجرا می نمایند. سپس با قابلیتهای خاص خود ﺁنرا از دید کاربر مخفی میکنند و کرم مزبور به راحتی به فعالیتهای مخرب خود به دور از چشم کاربر ادامه میدهد.