ویروس Duqu از طریق یک فایل اولیه که مرحله نصب فایلهای اصلی ویروس را انجام میدهد، بر روی کامپیوتر قربانی نصب و فعال میشود. این فایل که اصطلاحاً به آن Installer یا Dropper گفته میشود، در قالب یک فایل Word است.
Duqu چه می کند؟
آخرین تحلیل ها از وضعیت این ویروس
19 آبان 1390 ساعت 14:00
ویروس Duqu از طریق یک فایل اولیه که مرحله نصب فایلهای اصلی ویروس را انجام میدهد، بر روی کامپیوتر قربانی نصب و فعال میشود. این فایل که اصطلاحاً به آن Installer یا Dropper گفته میشود، در قالب یک فایل Word است.
به گزارش افتانا به نقل از ایتنا به دلیل وجود شباهتهایی بین ویروس Duqu و ویروس مشهور Stuxnet، این ویروس جدید مورد توجه زیادی قرار گرفته است و حتی عناوینی مانند "پسر Stuxnet" و یا "زاده Stuxnet" به آن داده شده است.
فهرستی از اخبار جدید درباره ویروس Duqu به شرح زیر جمعآوری و ارائه شده تا خوانندگان، کاربران و مدیران شبکه به دور از جنجالهای حاشیهای، اطلاعات لازم را در اختیار داشته باشند.
• ویروس Duqu از یک نقطه ضعف در بخش Kernel سیستم عامل Windows برای آلوده کردن کامپیوترهای قربانی و ایجاد ارتباط با سرور مرکز فرماندهی استفاده میکند. این نقطه ضعف تا به حال ناشناخته بوده و در حال حاضر اصلاحیهای برای رفع آن از سوی شرکت مایکروسافت منتشر نشده است.
شرکت مایکروسافت با انتشار اطلاعیهای ضمن تائید این نقطه ضعف، اعلام کرده که به زودی راهحلی در این مورد ارائه خواهد کرد.
• ویروس Duqu از طریق یک فایل اولیه که مرحله نصب فایلهای اصلی ویروس را انجام میدهد، بر روی کامپیوتر قربانی نصب و فعال میشود. این فایل که اصطلاحاً به آن Installer یا Dropper گفته میشود، در قالب یک فایل Word است.
در صورت باز کردن این فایل DOC مخرب، با سوءاستفاده از نقطه ضعف Kernel، مجوزهای لازم برای نصب فایلهای اصلی ویروس Duqu بر روی کامپیوتر فراهم و بدین ترتیب ویروس فعال میشود.
• نمونههایی که تا به حال از فایل نصب (Installer) به دست آمده، نشان میدهد که موسسات و مراکز خاصی مورد هدف قرار گرفتهاند و فایل نصب Duqu اختصاصاً برای این سازمانها ساخته شده است. حتی دوره فعالیت و آلودهسازی فایل نصب Duqu نیز مشخص و تعریف شده است.
بر اساس اولین نمونهای که از فایل نصب Duqu به دست آمده، ویروس فقط در طول هشت روز در ماه میلادی آگوست نصب و فعال شده است. البته در گونههای دیگر ویروس Duqu، مراکز مورد هدف و بازه زمانی فعالیت ویروس میتواند تغییر کرده باشد.
• به دلیل اینکه نقطه ضعف مورد سوءاستفاده ویروس Duqu در سیستم عامل windows است و ارتباطی به نرمافزار Word ندارد، این احتمال وجود دارد که برای نصب و فعالسازی ویروس از روشهای دیگری به غیر از فایل مخرب Word هم استفاده شده باشد و یا در آینده بکار گرفته شود.
• با توجه به اینکه نقطه ضعف مورد استفاده ویروس Duqu در بخش Kernel سیستم عامل است، برخی کارشناسان معتقدند که برخلاف ویروس Stuxnet که از چهار نقطه ضعف مختلف برای فعالیتهای خود استفاده میکرد، ویروس Duqu نمی تواند پیچیدگی Stuxnet را داشته باشد.
نقاط ضعف در بخش Kernel به وفور یافت میشود و شرکت مایکروسافت در بسیاری از اصلاحیههای ماهانه خود، دائماً این نقاط ضعف را ترمیم میکند. به عنوان مثال، در ماه میلادی آوریل امسال، مایکروسافت بیش از ۳۰ نقطه ضعف در Kernel را یکجا ترمیم کرد. هزینه خرید یک نقطه ضعف ناشناخته از نوع kernel در دنیای زیرزمینی نفوذگران و خرابکاران، حدود ۱۰ هزار دلار است.
• با آلوده شدن یک کامپیوتر در شبکه، امکان دسترسی و آلوده ساختن دیگر کامپیوترها برای مرکز فرماندهی ویروس Duqu فراهم میشود. اگر کامپیوتر آلوده دسترسی مستقیم به اینترنت داشته باشد، ویروس با سرور مرکز فرماندهی ارتباط مستقیم برقرار میکند.
در شبکههایی که برخی کامپیوترها به اینترنت وصل نیستند، ویروس Duqu روش خود را تغییر داده و کامپیوتر آلوده با استفاده از پودمان SMB یا Server Message Block با این کامپیوترها ارتباط برقرار میکند. از این طریق، فایلهای ویروس و دستورات مرکز فرماندهی به این کامپیوترهای سالم منتقل میشود تا آنها نیز آلوده شده و ارتباط غیرمستقیم سرور فرماندهی با این کامپیوترها هم برقرار گردد. پودمان SMB یکی از پودمان های رایج سیستم عامل Windows برای به اشتراک گذاشتن فایل و چاپگرها است.
• طبق آخرین آمار، ویروس Duqu در شش سازمان و هشت کشور مشاهده شده است. کشورهای فرانسه، هند، ایران، هلند، سوئیس، سودان، اوکراین و ویتنام، هشت کشوری هستند که آلودگی به ویروس Duqu در آنها تائید شده است. البته گزارشهای آلودگی تائید نشدهای هم از کشورهای مجارستان، اندونزی و انگلیس دریافت شده است.
• مرکز فرماندهی ویروس Duqu در ابتدا یک سرور در کشور هند بود که در هفتههای گذشته، شناسایی و برچیده شد. هفته گذشته نیز یک سرور فرماندهی در کشور بلژیک شناسایی شد که آن هم از سرویسدهی خارج شده است
کد مطلب: 50