بدافزار Win32/Stuxnet
(1389/06/02)
|
|
کرم Stuxnet که ماه ژوئن 2010 توسط VirusBlockAda، کشف شد، اولین بار در یک سیستم صنعتی ایرانی مشاهده شد و تهاجم عظیمی را علیه این سیستم ها آغاز کرد. Stuxnet به دنبال سیستم مدیریتی SCADA زیمنس که در کارخانه های بزرگ تولیدی مورد استفاده قرار می گیرد بوده و تلاش می کند اسرار صنعتی را از طریق اینترنت برای نفوذ کننده بفرستد.
این کرم از طریق دستگاه رابط USB از قبیل Flash memory، External hard disk، دوربین های دیجیتال و دیگر دستگاه هایی که دارای حافظه داخلی هستند، گسترش پیدا می کند. زمانی که دستگاه آلوده به رایانه متصل می شود، کدهای آن به جستجوی سیستم های زیمنس می گردد و خود را بر روی هر دستگاه دارای رابط USB دیگری که بیابد، کپی خواهد کرد.
جهت اطلاعات تخصصي و كاملتر به فايل پيوست در بخش مطالب علمي و آموزشي با همين عنوان مراجعه فرماييد.
|
|
نوع سازمان مخاطب : |
كليه سازمان ها |
|
اطلاعات فني |
|
اقدامات پيشگيرانه: |
|
به منظور جلوگیری از حمله این کرم مراحل زیر توصیه می شود:
• یک فایروال را روی رایانه ی خود فعال نمایید.
• آخرین نسخه ی نرم افزارها را استفاده نمایید.
• آنتی ویروس خود را بروز رسانی نمایید.
• از کاربر محدود کامپیوتر خود استفاده نمایید.
• هنگامی که ضمیمه¬ی را باز می کنید یا اجازه ی انتقال فایلی را می دهید به هشدارها توجه کنید.
• از بارگذاری نرم افزارهای که کپی آنها مجاز نیست بپرهیزید.
• خود را در مقابل حمله های مهندسی اجتماعی حفظ کنید.
• از رمز عبورهای که امکان حدس زدن آن ها پایین است، استفاده نمایید
|
|
اقدامات اصلاحي: |
درمان به صورت دستی:
1. به طور موقت سامانه بازیابی (System Restore) را غیرفعال نمایید.
2. ویروس یاب خود را به روز رسانی نمایی.
3. کامپیوتر خود را در حالت امن (Safe Mode) دوباره راه اندازی نمایید.
4. تمامی فایل های سیستم خود را به وسیله¬ی ویروس یاب بازبینی کنید و فایل های آلوده را حذف نمایید.
5. تعیین محل و توقف سرویس :
- روی دکمه شروع (Start ) و سپس گزینه¬ی اجرا (Run )را انتخاب نمایید.
- عبارت services.msc را نوشته و سپس روی دکمه¬¬ی OK کلیک نمایید.
- سرویس های شناسایی شده را انتخاب و مکان یابی نمایید. در زیر نام و مکان هر کدام از این سرویس ها و نوع راه اندازی آنها آمده است:
نام : MRXCLS
نوع راه اندازی : خودکار
مسیر: %System%\drivers\mrxcls.sys
نام : MRXNET
نوع راه اندازی : خودکار
مسیر : System%\drivers\mrxnet.sys %
- گزینه Action زیر شاخه¬ی Propertiesرا انتخاب نمایید.
- بر روی دکمه¬ی Stop کلیک نمایید.
- نوع Startup را به Manual تغییر دهید.
- روی دکمه¬ی OK کلیک کنید و پنجره Services را ببندید.
- کامپیوتر خود را مجدداً راه اندازی نمایید.
6. مقادیر افزوده شده به رجیستری را حذف یا تغییر دهید.
7. از ویرایشگر رجیستری خود خارج شوید و کامپیوتر را مجدداً راه اندازی نمایید.
|
|
جهت اطلاعات بيشتر،مراجعه کنيد به : |
این کرم از طریق غیر معمولی یعنی بدون استفاده از فایل autorun.inf، در فرایند پردازش فایل های دارای پسوند .LNK به سیستم عامل صدمه می¬زند.
W32.Tmphider یا W32.Stuxnet از نوع تهدید های Rootkit می¬باشند که به تازگی کشف شده¬اند.
Win32/Stuxnet.B کرمی است که به تمامی درایو های قابل حمل سرایت می کند. این فرآیند به این صورت روی می دهد که کرم Win32/Stuxnet.B فایل میانبری را که دارای فایلی با پسوند .LNK است، می سازد. وقتی داریو قابل حمل به برنامه ای که با آیکون میانبرش نمایش داده می شود دسترسی پیدا می کند این کرم به صورت اتوماتیک اجرا می شود. کرم Win32/Stuxnet.B توانایی قرار دادن، نصب اجزای دیگر، درج کد در برنامه های در حال اجرا و اجازه ی دسترسی پنهانی و کنترل کامپیوتری که مورد حمله واقع شده¬اند را دارد. گفتنی است که میزان آلودگی که این بدافزار در سیستم ها به وجود می¬آورد متغیر است.
براي اطلاعات تخصصي و كامل به مطالب علمي و آموزشي مراجعه كنيد.
|
|
آدرس دريافت وصله : |
https://www.ircert.cc/fa/37/-1/articles/show/2175 |
|
سطح خطر : |
زياد |
|
|
|