آزمایشگاه کسپرسکی یافته های جدیدی درخصوص بدافزار Wiper منتشر کرده است.

پایگاه اطلاع رسانی پلیس فتا: پس از وقوع حملات سایبری به مراکزی در ایران که منجر به کشف بدافزارهای فلیم و در ادامه گاوس گردید، هم اکنون یافته های جدید نشان می دهد که بدافزار وایپر نیز وجودی مستقل از فلیم داشته است.

براساس این گزارش، حملاتی که در دسامبر ۲۰۱۱ و آوریل ۲۰۱۲ (فروردین ماه ۱۳۹۱) توسط این بدافزار به مراکزی در ایران و چند کشور دیگر صورت گرفت، از قدرت تخریبی بسیار بالایی برخوردار بود. الگوریتم بدافزار دارای هوشمندی بسیاری در پاک کردن ردپای فعالیت های انجام گرفته و همچنین تخریب داده های هارددیسک ها بوده است.

این گزارش می افزاید عملکرد این بدافزار به نحوی بود که از راه اندازی مجدد کامپیوترها و انجام فعالیت های متعارف جلوگیری کرده و همزمان می توانست تا چند گیگابایت از اطلاعات را حدف نماید. ضمن آنکه عملیات کارشناسان کسپرسکی با تحلیل هارددیسک های آلوده به وایپر دریافته اند که این بدافزار ضمن پیروی از الگوی خاصی برای حذف فایل ها و توجه به نوع آن ها، در پاک کردن حجم بزرگی از داده ها (چند گیگابایت) که قاعدتا زمان زیادی را طلب می کند، نیز بسیار کارامد عمل کرده است.
تخریب (پاک کردن داده ها) ابتدا در نیمی از هارد دیسک و باسرعت انجام می گرفت و چنانچه بدافزار امکان ادامه فعالیت را می یافت، به پاک کردن نیمه دیگر داده ها اقدام می نمود تا سیستم به طور کامل از کار می افتاد.

به عنوان نمونه در تصویر زیر مناطقی که حذف داده ها با شدت انجام گرفته با رنگ قرمز و مناطق با رنگ خاکستری با شدت کمتری تخریب شده اند. در نتیجه مشاهده می شود که نحوه تخریب داده ها به صورت کاملا موفق انجام گرفته و در نیمه نخست کامل شده است. سایر فضاهای هارددیسک یعنی فضای میانی و فضای انتهایی نیز در فاز بعدی مورد هجوم واقع می شدند تا آنکه سیستم به طور کامل از کار بیفتد و هیچ داده ای روی آن باقی نماند.

[align=center]

[/align]

این گزارش اضافه می کند که نحوه نام گذاری فایل های بی معنی توسط این بدافزار (زیرا پاک کردن داده ها از طریق دوباره نویسی فایل های زائد روی آن ها صورت می گیرد) مشابه نام های استفاده شده در فلیم و دوکو است. به عنوان نمونه ~DF*.tmp و ~DE*.tmp از همین قاعده پیروی می کنند.

[align=center]

[/align]

نتیجه گیری

بررسی های متخصصان نشان می دهد که:

  • ممکن است ما هرگز پی به علت اصلی انتشار این بدافزار نبریم. اما می دانیم که وایپر به طور مستقیم به فلیم مرتبط نبوده است.

  • ممکن است برخی ادعا کنند که این بدافزار تنها به دلیل آسیب رساندن به داده های برخی دستگاه های خاص در مراکزی خاص طراحی شده باشد. اما ما به چنین نتیجه ای نرسیدیم.

  • وایپر ممکن است با دوکو و استاکس نت مرتبط باشد، اما در این خصوص مطمئن نیستیم.

  • وایپر عملکرد موفقی داشته و دنباله روی آن بدافزارهایی مانند شامون هستند.

  • فعالیت وایپر باعث شد که بدافزاری مانند فلیم آشکارسازی شود. اما سئوال اساسی اینجاست که اگر طراحان دوکو/استاکس نت/ فلیم در کار طراحی این بدافزار نیز شراکت داشته اند، چرا با وایپر باعث لورفتن فعالیت های سایر بدافزارهایشان شده اند؟

منبع: افتانا