تشخیص پیشرفته‌ترین بدافزار دنیا (معادله) توسط ضدروت‌کیت ایرانی

به گزارش جام جم کلیک به نقل از امن‌پرداز: در عرض چند روز گذشته کسپراسکی گزارشی از یک گروه بدافزار منتشر کرد که با توجه به قابلیت‌ها و پیچیدگی‌های آن، به عنوان پیشرفته‌ترین بدافزار دنیا لقب گرفته و از استاکس‌نت، فلیم، و رجین قدمت بیشتر و پیچیدگی بالاتری دارد.

همه این بدافزارها توسط گروهی که به گروه معادله (Equation Group) مشهور شده‌اند نوشته شده و مدارکی وجود دارد که حداقل از سال ۲۰۰۱ و شاید ۱۹۹۶ تا کنون فعال بوده و توسط هیچ ضدویروسی شناسایی نشده بودند. از میان کشورهایی که هدف این بدافزار پیچیده قرار گرفته بودند، ایران در صدر آلودگی‌ها قرار دارد. پس از ایران، کشورهای روسیه، پاکستان، و افغانستان در رده‌های بعدی هدف این بدافزارها بوده‌اند.

پیشرفته‌ترین قابلیت این بدافزارها، قابلیت آلوده کردن سفت‌افزار (firmware) هارد دیسک‌های مختلف است. چنین کاری، اگر به درستی و کمال پیاده شود، به نویسندگان بدافزار این قدرت را می‌دهد که به طور کامل از چشم نرم‌افزارهای امنیتی و ضدویروس‌ها پنهان شوند و حتی با فرمت کردن هارد دیسک و سایر روش‌های نرم‌افزاری امکان پاک کردن یا تشخیص دادن چنین ویروسی وجود نخواهد داشت.

در حال حاضر بررسی دقیق این بدافزارها و تهیه ابزار ویژه تشخیص در دستور کار آزمایشگاه بدافزار پادویش قرار دارد و به زودی خبرهای جدیدی از نکات ناگفته این بدافزار منتشر می‌گردد.

آیا پادویش امکان تشخیص بدافزارهای گروه معادله را دارد؟

بله. روش‌های تشخیص این بدافزارها به پادویش افزوده شده‌اند و پادویش جلوی آلودگی به این بدافزار را خواهد گرفت.

با توجه به اینکه این بدافزارها از نوع روت‌کیت به شمار می‌روند، توصیه می‌کنیم جهت تشخیص نسخه‌های فعال آن از ابزارهای ضدروت‌کیت مانند ضدروت‌کیت پادویش استفاده کنید. همچنین از آنجاییکه امکان دارد بدافزار قبلا سیستم شما را آلوده کرده و بعدا خود را پاک کرده باشد، جهت تشخیص آثار آلودگی‌های قدیمی و تشخیص نسخه‌های قبلی ابزار ویژه‌ای در دست تهیه است که به زودی منتشر خواهد شد.

روش استفاده از ضدروت‌کیت پادویش برای تشخیص بدافزار EquationDrug

‫آخرین نسخه ضدروت‌کیت پادویش که ماه گذشته منتشر شده بود، قابلیت تشخیص بدافزار EquationDrug یکی از اجزای اصلی بدافزارهای گروه معادله را داراست. این بدافزار یک پلت‌فرم پیشرفته جاسوسی به شمار می‌رود که به عنوان یکی از ابزارهای اصلی گروه معادله برای استخراج اطلاعات در ویندوزهای ۲۰۰۳ و XP کاربرد داشته است. برای ویندوزهای جدیدتر مانند هفت از ابزارهای دیگری استفاده می‌شده که هم‌اکنون در دست بررسی است.

جهت تشخیص این بدافزار روال زیر را طی کنید:

1. ضدروت‌کیت پادویش را از سایت www.padvish.com، بخش دانلود دریافت نمایید. (لینک)
2. ضدروت‌کیت را از حالت فشرده خارج کرده و اجرا کنید.
3. قبل از انجام عمل پویش، مطمئن شوید که گارد ضدویروس خود را خاموش کرده باشید.
4. گزینه پویش را انتخاب کنید.
5. پس از اتمام عملیات پویش، پنجره ضدروت‌کیت را نبندید.
6. فایل ScanLog ضدروت‌کیت را باز کنید. برای یافتن لاگ از روش زیر استفاده کنید:

• به پوشه %temp% مراجعه نمایید. (کلید ویندوز و R را همزمان فشار داده و این عبارت را تایپ کرده و کلید تایید را بزنید)
• فایل‌ها را به ترتیب تاریخ مرتب نموده و در بین پوشه‌های جدیدتر، به دنبال پوشه‌ای بگردید که معادل تاریخ امروز باشد. (مثلا 2015221-…)
• به داخل پوشه مربوطه بروید. باید دو فایل ScanLog و AntirootkitLog در این شاخه موجود باشند.

در داخل فایل ScanLog به دنبال عبارات Hidden بگردید:

a. در صورت وجود داشتن فایل یا مسیر رجیستری Hidden، فایل ScanLog را برای شرکت امن‌پرداز به ایمیل support@amnpardaz.com ارسال کنید.

b. نام درایور مخفی این بدافزار معمولا MSNDSRV.SYS است.

نمونه تصویر فایل مخفی این بدافزار که توسط ضدروت‌کیت پیدا شده است:

نمونه تصویر رجیستری مخفی این بدافزار که توسط ضدروت‌کیت پیدا شده است:

آیا ضدروت‌کیت پادویش آلودگی سفت‌افزار (firmware) را تشخیص می‌دهد؟

خیر. در حال حاضر هیچ ابزار نرم‌افزاری قادر به تشخیص این گونه آلودگی‌ها نبوده و ضدروت‌کیت پادویش نیز از این قاعده مستثنی نیست. با این همه، از آنجاییکه آلودگی سفت‌افزار در بسیاری موارد توسط سایر بدافزارهای گروه معادله انجام می‌گیرد، اگر یکی از این بدافزارها روی رایانه شما پیدا شود باید به وجود این نوع آلودگی حساس شوید.

منبع: پادویش