.png "عصر ایران")
۰۶ ارديبهشت ۱۴۰۳
به روز شده در: ۰۶ ارديبهشت ۱۴۰۳ - ۰۴:۰۰
غذای خیابانی در افغانستان؛ سرو آبگوشت پاچه گاو (فیلم) فرمان خودکشی بدافزار Flame صادر شد
مطابق گزارش شرکت امنیتی سیمانتک، طراحان بدافزار Flamer در روزهای اخیر از طریق تعدادی از Serverهای کنترل کننده این ویروس (C&C Servers) فرمانهای جدیدی را برای سیستمهای آلوده شده ارسال کردهاند. این فرمانها در واقع دستور خودکشی به بدافزار Flamer است و باعث میشود که این بدافزار خودش را از روی سیستمهای آلوده Uninstall کند!
ایتنا - احتمالا انگیزه مهاجمان از حذف ویروس از سیستمهای آلوده، سعی در پنهان نگه داشتن زوایای ناشناخته عملکرد آن است تا پس از این عقبنشینی، درصدد حمله مجددی باشند.
فرمان خودکشی بدافزار فلیم صادر شد
مطابق گزارش شرکت امنیتی سیمانتک، طراحان بدافزار Flamer در روزهای اخیر از طریق تعدادی از Serverهای کنترل کننده این ویروس (C&C Servers) فرمانهای جدیدی را برای سیستمهای آلوده شده ارسال کردهاند. این فرمانها در واقع دستور خودکشی به بدافزار Flamer است و باعث میشود که این بدافزار خودش را از روی سیستمهای آلوده Uninstall کند!
ویروس Flamer قابلیت ارتباط با تعداد زیادی Server کنترل کننده را دارا بوده است. پس از شناسایی ویروس، طراحان آن بسیاری از این Domainها و Serverها را غیرفعال کردهاند.
اما تعداد اندکی از C&C Serverها همچنان برای برقراری ارتباط با بخش خاصی از سیستمهای آلوده فعال هستند تا مهاجمان اجازه داشته باشند C&C Serverهای جدید و ناشناختهای را برای پروژه خود تعریف کنند و به عملیات سایبری خود به روشهای دیگری ادامه دهند.
سیستمهای آلوده شده طبق تنظیمات از قبل تعریف شدهای با C&C Serverها ارتباط برقرار میکنند تا فرمانهای جدید مهاجمان را دریافت کنند.
پس از برقراری ارتباط، C&C Server یک فایل بانام browse32.ocx برای کامپیوتر قربانی ارسال میکند. این فایل شامل فرمانهای جدیدی است که ویروس باید آن را به اجرا درآورد.
یکی از فرمانهایی که اخیرا ارسال شده است فرمان خودکشی ویروس(Uninstaller Command) است.
ویروس برای خودکشی خود لیستی طولانی از فایلها و Folderهای مختلف را حذف میکند و سپس با استفاده از کاراکترهای تصادفی آنها را(OverWrite) رونویسی میکند تا فایلهای متعلق به ویروس به هیچ وجه و با هیچ ابزاری قابل بازیابی نباشند.
لیست فایلها و Folderهایی که توسط ماژول خودکشی ویروس Flamer حذف میشوند به این شرح است:
Deleted files
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\audcache
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\audfilter.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\dstrlog.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\dstrlogh.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۳aaux.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۳afilter.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۳asound.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۴aaux.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۴afilter.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۴asound.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۵aaux.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۵afilter.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۵asound.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\mlcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\mpgaaux.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\mpgaud.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\qpgaaux.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\srcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\wavesup۳.drv
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\wpgfilter.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\authcfg.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\ctrllist.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\lmcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\ntcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\posttab.bin
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\secindex.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\tokencpt
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\dmmsap.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\domm.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\domm۲.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\domm۳.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\dommt.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\dstrlog.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\dstrlogh.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\lmcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\Lncache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\ltcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\mscorest.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\mscrol.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\mscrypt.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\mspovst.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\msrovst.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\msrsysv.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\msvolrst.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\nt۲cache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\ntcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\rccache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\rdcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\rmcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\ssitable
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\syscache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\syscache۳.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\audtable.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\fmpidx.bin
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\lmcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\lrlogic
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\mixercfg.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\mixerdef.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\ntcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\sndmix.drv
•%SystemDrive%\system۳۲\msglu۳۲.ocx
•%SystemDrive%\Temp\~۸C۵FF۶C.tmp
•%Temp%\~*
•%Temp%\~a۲۸.tmp
•%Temp%\~a۳۸.tmp
•%Temp%\~DF۰۵AC۸.tmp
•%Temp%\~DFD۸۵D۳.tmp
•%Temp%\~DFL۵۴۲.tmp
•%Temp%\~DFL۵۴۳.tmp
•%Temp%\~DFL۵۴۴.tmp
•%Temp%\~DFL۵۴۵.tmp
•%Temp%\~DFL۵۴۶.tmp
•%Temp%\~dra۵۱.tmp
•%Temp%\~dra۵۲.tmp
•%Temp%\~dra۵۳.tmp
•%Temp%\~dra۶۱.tmp
•%Temp%\~dra۷۳.tmp
•%Temp%\~fghz.tmp
•%Temp%\~HLV۰۸۴.tmp
•%Temp%\~HLV۲۹۴.tmp
•%Temp%\~HLV۴۷۳.tmp
•%Temp%\~HLV۷۵۱.tmp
•%Temp%\~HLV۹۲۷.tmp
•%Temp%\~KWI۹۸۸.tmp
•%Temp%\~KWI۹۸۹.tmp
•%Temp%\~mso۲a۰.tmp
•%Temp%\~mso۲a۱.tmp
•%Temp%\~mso۲a۲.tmp
•%Temp%\~rei۵۲۴.tmp
•%Temp%\~rei۵۲۵.tmp
•%Temp%\~rf۲۸۸.tmp
•%Temp%\~rft۳۷۴.tmp
•%Temp%\~TFL۸۴۸.tmp
•%Temp%\~TFL۸۴۹.tmp
•%Temp%\~ZFF۰۴۲.tmp
•%Temp%\comspol۳۲.ocx
•%Temp%\GRb۹M۲.bat
•%Temp%\indsvc۳۲.ocx
•%Temp%\scaud۳۲.exe
•%Temp%\scsec۳۲.exe
•%Temp%\sdclt۳۲.exe
•%Temp%\sstab.dat
•%Temp%\sstab۱۵.dat
•%Temp%\winrt۳۲.dll
•%Temp%\winrt۳۲.ocx
•%Temp%\wpab۳۲.bat
•%Temp%\wpab۳۲.bat
•%Windir%\Ef_trace.log
•%Windir%\Prefetch\Layout.ini
•%Windir%\Prefetch\NTOSBOOT-B۰۰DFAAD.pf
•%Windir%\repair\default
•%Windir%\repair\sam
•%Windir%\repair\security
•%Windir%\repair\software
•%Windir%\repair\system
•%Windir%\system۳۲\advnetcfg.ocx
•%Windir%\system۳۲\advpck.dat
•%Windir%\system۳۲\aud*
•%Windir%\system۳۲\authpack.ocx
•%Windir%\system۳۲\boot۳۲drv.sys
•%Windir%\system۳۲\ccalc۳۲.sys
•%Windir%\system۳۲\commgr۳۲.dll
•%Windir%\system۳۲\comspol۳۲.dll
•%Windir%\system۳۲\comspol۳۲.ocx
•%Windir%\system۳۲\config\default.sav
•%Windir%\system۳۲\config\sam.sav
•%Windir%\system۳۲\config\security.sav
•%Windir%\system۳۲\config\software.sav
•%Windir%\system۳۲\config\system.sav
•%Windir%\system۳۲\config\userdiff.sav
•%Windir%\system۳۲\ctrllist.dat
•%Windir%\system۳۲\indsvc۳۲.dll
•%Windir%\system۳۲\indsvc۳۲.ocx
•%Windir%\system۳۲\lrl*
•%Windir%\system۳۲\modevga.com
•%Windir%\system۳۲\mssecmgr.ocx
•%Windir%\system۳۲\mssui.drv
•%Windir%\system۳۲\mssvc۳۲.ocx
•%Windir%\system۳۲\ntaps.dat
•%Windir%\system۳۲\nteps۳۲.ocx
•%Windir%\system۳۲\pcldrvx.ocx
•%Windir%\system۳۲\rpcnc.dat
•%Windir%\system۳۲\scaud۳۲.exe
•%Windir%\system۳۲\sdclt۳۲.exe
•%Windir%\system۳۲\soapr۳۲.ocx
•%Windir%\system۳۲\ssi*
•%Windir%\system۳۲\sstab.dat
•%Windir%\system۳۲\sstab۰.dat
•%Windir%\system۳۲\sstab۱.dat
•%Windir%\system۳۲\sstab۱۰.dat
•%Windir%\system۳۲\sstab۱۱.dat
•%Windir%\system۳۲\sstab۱۲.dat
•%Windir%\system۳۲\sstab۲.dat
•%Windir%\system۳۲\sstab۳.dat
•%Windir%\system۳۲\sstab۴.dat
•%Windir%\system۳۲\sstab۵.dat
•%Windir%\system۳۲\sstab۶.dat
•%Windir%\system۳۲\sstab۷.dat
•%Windir%\system۳۲\sstab۸.dat
•%Windir%\system۳۲\sstab۹.dat
•%Windir%\system۳۲\tok*
•%Windir%\system۳۲\watchxb.sys
•%Windir%\system۳۲\winconf۳۲.ocx
Deleted folders
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix
تمام سیستمهای آلودهای که فرمان خودکشی را دریافت کردهاند ویروس Flamer از روی آنها بطور کامل حذف شده است و دیگر هیچ اثری از آن دیده نمیشود.
همانگونه که پیشتر گفته شد ویروس Flamer دارای ساختاری ماژولار است.
در تحلیلهای گذشته مشخص شده بود که یک ماژول بنام SUICIDE (که بسیار شبیه Browse32.ocx است) در بدافزار استفاده شده است که کار آن خودکشی ویروس بوده است. اما در ارسال فرمان خودکشی اخیر مهاجمان از آن استفاده نکردهاند.
هنوز انگیزه مهاجمان از عدم استفاده از این ماژول آماده، مشخص نیست.
به نظر میرسد انگیزه اصلی مهاجمان از حذف ویروس از سیستمهای آلوده، سعی در پنهان نگه داشتن زوایای ناشناخته عملکرد این ویروس بوده است و دور از ذهن نیست که مهاجمان پس از این عقبنشینی، درصدد حمله مجددی باشند.
فرمان خودکشی بدافزار فلیم صادر شد
مطابق گزارش شرکت امنیتی سیمانتک، طراحان بدافزار Flamer در روزهای اخیر از طریق تعدادی از Serverهای کنترل کننده این ویروس (C&C Servers) فرمانهای جدیدی را برای سیستمهای آلوده شده ارسال کردهاند. این فرمانها در واقع دستور خودکشی به بدافزار Flamer است و باعث میشود که این بدافزار خودش را از روی سیستمهای آلوده Uninstall کند!
ویروس Flamer قابلیت ارتباط با تعداد زیادی Server کنترل کننده را دارا بوده است. پس از شناسایی ویروس، طراحان آن بسیاری از این Domainها و Serverها را غیرفعال کردهاند.
اما تعداد اندکی از C&C Serverها همچنان برای برقراری ارتباط با بخش خاصی از سیستمهای آلوده فعال هستند تا مهاجمان اجازه داشته باشند C&C Serverهای جدید و ناشناختهای را برای پروژه خود تعریف کنند و به عملیات سایبری خود به روشهای دیگری ادامه دهند.
سیستمهای آلوده شده طبق تنظیمات از قبل تعریف شدهای با C&C Serverها ارتباط برقرار میکنند تا فرمانهای جدید مهاجمان را دریافت کنند.
پس از برقراری ارتباط، C&C Server یک فایل بانام browse32.ocx برای کامپیوتر قربانی ارسال میکند. این فایل شامل فرمانهای جدیدی است که ویروس باید آن را به اجرا درآورد.
یکی از فرمانهایی که اخیرا ارسال شده است فرمان خودکشی ویروس(Uninstaller Command) است.
ویروس برای خودکشی خود لیستی طولانی از فایلها و Folderهای مختلف را حذف میکند و سپس با استفاده از کاراکترهای تصادفی آنها را(OverWrite) رونویسی میکند تا فایلهای متعلق به ویروس به هیچ وجه و با هیچ ابزاری قابل بازیابی نباشند.
لیست فایلها و Folderهایی که توسط ماژول خودکشی ویروس Flamer حذف میشوند به این شرح است:
Deleted files
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\audcache
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\audfilter.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\dstrlog.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\dstrlogh.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۳aaux.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۳afilter.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۳asound.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۴aaux.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۴afilter.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۴asound.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۵aaux.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۵afilter.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\m۵asound.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\mlcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\mpgaaux.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\mpgaud.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\qpgaaux.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\srcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\wavesup۳.drv
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\wpgfilter.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\authcfg.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\ctrllist.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\lmcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\ntcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\posttab.bin
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\secindex.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\tokencpt
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\dmmsap.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\domm.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\domm۲.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\domm۳.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\dommt.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\dstrlog.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\dstrlogh.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\lmcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\Lncache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\ltcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\mscorest.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\mscrol.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\mscrypt.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\mspovst.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\msrovst.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\msrsysv.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\msvolrst.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\nt۲cache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\ntcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\rccache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\rdcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\rmcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\ssitable
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\syscache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\syscache۳.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\audtable.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\fmpidx.bin
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\lmcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\lrlogic
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\mixercfg.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\mixerdef.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\ntcache.dat
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\sndmix.drv
•%SystemDrive%\system۳۲\msglu۳۲.ocx
•%SystemDrive%\Temp\~۸C۵FF۶C.tmp
•%Temp%\~*
•%Temp%\~a۲۸.tmp
•%Temp%\~a۳۸.tmp
•%Temp%\~DF۰۵AC۸.tmp
•%Temp%\~DFD۸۵D۳.tmp
•%Temp%\~DFL۵۴۲.tmp
•%Temp%\~DFL۵۴۳.tmp
•%Temp%\~DFL۵۴۴.tmp
•%Temp%\~DFL۵۴۵.tmp
•%Temp%\~DFL۵۴۶.tmp
•%Temp%\~dra۵۱.tmp
•%Temp%\~dra۵۲.tmp
•%Temp%\~dra۵۳.tmp
•%Temp%\~dra۶۱.tmp
•%Temp%\~dra۷۳.tmp
•%Temp%\~fghz.tmp
•%Temp%\~HLV۰۸۴.tmp
•%Temp%\~HLV۲۹۴.tmp
•%Temp%\~HLV۴۷۳.tmp
•%Temp%\~HLV۷۵۱.tmp
•%Temp%\~HLV۹۲۷.tmp
•%Temp%\~KWI۹۸۸.tmp
•%Temp%\~KWI۹۸۹.tmp
•%Temp%\~mso۲a۰.tmp
•%Temp%\~mso۲a۱.tmp
•%Temp%\~mso۲a۲.tmp
•%Temp%\~rei۵۲۴.tmp
•%Temp%\~rei۵۲۵.tmp
•%Temp%\~rf۲۸۸.tmp
•%Temp%\~rft۳۷۴.tmp
•%Temp%\~TFL۸۴۸.tmp
•%Temp%\~TFL۸۴۹.tmp
•%Temp%\~ZFF۰۴۲.tmp
•%Temp%\comspol۳۲.ocx
•%Temp%\GRb۹M۲.bat
•%Temp%\indsvc۳۲.ocx
•%Temp%\scaud۳۲.exe
•%Temp%\scsec۳۲.exe
•%Temp%\sdclt۳۲.exe
•%Temp%\sstab.dat
•%Temp%\sstab۱۵.dat
•%Temp%\winrt۳۲.dll
•%Temp%\winrt۳۲.ocx
•%Temp%\wpab۳۲.bat
•%Temp%\wpab۳۲.bat
•%Windir%\Ef_trace.log
•%Windir%\Prefetch\Layout.ini
•%Windir%\Prefetch\NTOSBOOT-B۰۰DFAAD.pf
•%Windir%\repair\default
•%Windir%\repair\sam
•%Windir%\repair\security
•%Windir%\repair\software
•%Windir%\repair\system
•%Windir%\system۳۲\advnetcfg.ocx
•%Windir%\system۳۲\advpck.dat
•%Windir%\system۳۲\aud*
•%Windir%\system۳۲\authpack.ocx
•%Windir%\system۳۲\boot۳۲drv.sys
•%Windir%\system۳۲\ccalc۳۲.sys
•%Windir%\system۳۲\commgr۳۲.dll
•%Windir%\system۳۲\comspol۳۲.dll
•%Windir%\system۳۲\comspol۳۲.ocx
•%Windir%\system۳۲\config\default.sav
•%Windir%\system۳۲\config\sam.sav
•%Windir%\system۳۲\config\security.sav
•%Windir%\system۳۲\config\software.sav
•%Windir%\system۳۲\config\system.sav
•%Windir%\system۳۲\config\userdiff.sav
•%Windir%\system۳۲\ctrllist.dat
•%Windir%\system۳۲\indsvc۳۲.dll
•%Windir%\system۳۲\indsvc۳۲.ocx
•%Windir%\system۳۲\lrl*
•%Windir%\system۳۲\modevga.com
•%Windir%\system۳۲\mssecmgr.ocx
•%Windir%\system۳۲\mssui.drv
•%Windir%\system۳۲\mssvc۳۲.ocx
•%Windir%\system۳۲\ntaps.dat
•%Windir%\system۳۲\nteps۳۲.ocx
•%Windir%\system۳۲\pcldrvx.ocx
•%Windir%\system۳۲\rpcnc.dat
•%Windir%\system۳۲\scaud۳۲.exe
•%Windir%\system۳۲\sdclt۳۲.exe
•%Windir%\system۳۲\soapr۳۲.ocx
•%Windir%\system۳۲\ssi*
•%Windir%\system۳۲\sstab.dat
•%Windir%\system۳۲\sstab۰.dat
•%Windir%\system۳۲\sstab۱.dat
•%Windir%\system۳۲\sstab۱۰.dat
•%Windir%\system۳۲\sstab۱۱.dat
•%Windir%\system۳۲\sstab۱۲.dat
•%Windir%\system۳۲\sstab۲.dat
•%Windir%\system۳۲\sstab۳.dat
•%Windir%\system۳۲\sstab۴.dat
•%Windir%\system۳۲\sstab۵.dat
•%Windir%\system۳۲\sstab۶.dat
•%Windir%\system۳۲\sstab۷.dat
•%Windir%\system۳۲\sstab۸.dat
•%Windir%\system۳۲\sstab۹.dat
•%Windir%\system۳۲\tok*
•%Windir%\system۳۲\watchxb.sys
•%Windir%\system۳۲\winconf۳۲.ocx
Deleted folders
•%ProgramFiles%\Common Files\Microsoft Shared\MSAudio
•%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl
•%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr
•%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix
تمام سیستمهای آلودهای که فرمان خودکشی را دریافت کردهاند ویروس Flamer از روی آنها بطور کامل حذف شده است و دیگر هیچ اثری از آن دیده نمیشود.
همانگونه که پیشتر گفته شد ویروس Flamer دارای ساختاری ماژولار است.
در تحلیلهای گذشته مشخص شده بود که یک ماژول بنام SUICIDE (که بسیار شبیه Browse32.ocx است) در بدافزار استفاده شده است که کار آن خودکشی ویروس بوده است. اما در ارسال فرمان خودکشی اخیر مهاجمان از آن استفاده نکردهاند.
هنوز انگیزه مهاجمان از عدم استفاده از این ماژول آماده، مشخص نیست.
به نظر میرسد انگیزه اصلی مهاجمان از حذف ویروس از سیستمهای آلوده، سعی در پنهان نگه داشتن زوایای ناشناخته عملکرد این ویروس بوده است و دور از ذهن نیست که مهاجمان پس از این عقبنشینی، درصدد حمله مجددی باشند.
نظرات کاربران
لینک کوتاه: کپی لینک
۳ مورد از شگفت انگیزترین اکتشافات مصر باستان؛ از شهر طلایی تا مقبره نفرین شده (+عکس) بمب منفجرنشدهای که 100 سال زینتبخش یک باغچه بود! (+عکس) فال حافظ امروز : یک غزل ناب و یک تفسیر گویا (6 اردیبهشت) 130 سال قبل چه اتفاقی افتاد که «گوسفندها» دیوانه شدند؟! تخت جمشید دوم ایران کجاست؟ تخلفات راهنمایی و رانندگی و مبلغ جریمه ها در کشورهای همسایه چگونه است؟ 10 سریال گانگستری تماشایی که بر اساس داستان واقعی ساخته شدند(+عکس) فال حافظ امروز : یک غزل ناب و یک تفسیر گویا (5 اردیبهشت) این کیک کرامبل توت فرنگی را با روشی متفاوت بپزید تهدیدی به نام سندروم «ددی ایشو»! نگاهی به بدترین گوشی های هوشمند جهان؛ از آیفون ۶ تا گلکسی نوت ۷ انفجاری (+عکس) ۱۵ کشور آسیایی که سریعترین روند کاهش جمعیت را دارند چرا بخشیدن پدر و مادرمان تا این اندازه دشوار است؟ ۷ موقعیت در زندگی که هنگام مواجهه با آن ها باید «نه» بگوییم گفتگو با حمید معصومی نژاد؛ از قبولی در آزمون ورودی پزشکی در رم تا پیشنهاد بازیگری (+عکس)
وبگردی