X
تبلیغات
رایتل
 
کامپیوتر البرز - کرج
تبادل اطلاعات و اطلاع رسانی کامپیوتر در استان البرز - کرج
                                                                 
نویسندگان
آمار وبلاگ
  • تعداد بازدیدکنندگان: 95517
پنج‌شنبه 30 تیر 1390 :: 06:35 ::  نویسنده : گروه کامپیوتر البرز

روش پیشگیری و پاکسازی دستی کرم رایانه‌ای Stuxnet

استاکس‌نت  Stuxnet: یک بدافزار رایانه ای (بنا بر نظر شرکت‌های نرم‌افزاری امنیت رایانه:کرم رایانه‌ای یا تروجان) است که اولین بار در تاریخ ۱۳ جولای ۲۰۱۰ توسط ضدویروس وی‌بی‌ای۳۲ شناسایی شد. این بدافزار با استفاده از نقص امنیتی موجود در میانبرهای ویندوز، با آلوده کردن رایانه‌های کاربران صنعتی فایل‌های با قالب اسکادا که مربوط به نرم‌افزارهای WinCC و PCS7 شرکت زیمنس را جمع آوری کرده و به یک سرور خاص ارسال می‌کند.
این بدافزار در اواسط تیرماه ۱۳۸۹ در سراسر جهان انتشار یافت و بیشترین میزان آلودگی به این بدافزار در ایران گزارش شده‌است کارشناسان معتقدند طراحان این بدافزار یک منطقه جغرافیایی خاص را مدنظر داشته‌اند و طبق گزارش مجله بیزنس ویک هدف از طراحی این بدافزار دستیابی به اطلاعات صنعتی ایران است. این بدافزار برای جلوگیری از شناسایی شدن خود از امضای دیجیتال شرکت Realtek استفاده می‌کند.
استاکس‌نت از طریق ایمیل و حافظه‌های جانبی منتشر می‌شود.این بدافزار پس از آلوده ساختن سیستم،فایل‌های زیر را در سیستم کپی می‌نماید:
1. %Windir%\\inf\\mdmcpq3.PNF
2. %Windir%\\inf\\mdmeric3.PNF
3. %Windir%\\inf\\oem6C.PNF323
4. %Windir%\\inf\\oem7A.PNF
5. %windir%\\system32\\drivers\\mrxcls.sys
6. %windir%\\system32\\drivers\\mrxnet.sys

و برای راه‌اندازی سرویس‌های خود پس از بالا آمدن ویندوز کلیدهای زیر را در ریجیستری ویندوز نصب می‌کند:
1. HKLM\\System\\CurrentControlSet\\Services\\Services\\MRxNet
2. HKLM\\System\\CurrentControlSet\\Services\\Services\\MRxCls

سپس این بدافزار در حافظه سیستم مقیم شده و برای عبور از دیوار آتش سیستم،کدهای خود را به اینترنت اکسپلورر تزریق می‌کند و پس از جمع آوری اطلاعات مربوط به شبکه‌ها و پیکربندی آنها در رایانه قربانی سعی به ارتباط با وب‌گاه‌های زیر از طریق راه دور می‌کند:

• www.windowsupdate.com
• www.msn.com
• www.mypremierfutbol.com
• www.todaysfutbol.com

استاکس نت همچنین برای گسترش و انتشار خود در سیستم‌های دیگر ، فایل‌های زیر را در حافظه‌های جانبی که به رایانه‌های آلوده شده متصل شوند ، کپی می‌کند :

1. %DriveLetter%\\~WTR4132.tmp
2. %DriveLetter%\\~WTR4141.tmp
3. %DriveLetter%\\Copy of Shortcut to.lnk
4. %DriveLetter%\\Copy of Copy of Shortcut to.lnk
5. %DriveLetter%\\Copy of Copy of Copy of Shortcut to.lnk
6. %DriveLetter%\\Copy of Copy of Copy of Copy of Shortcut to.lnk

پیشگیری و پاکسازی
برای پاکسازی سیستم بصورت دستی ابتدا باید سیستم ریستور را غیر فعال نمود سپس در حالت سیف مد تمام فایل‌ها و کلیدهای کپی شده توسط بدافزار در سیستم را پاک کرد. همچنین برای پیشگیری از آلوده شدن به استاکس‌نت لازم است نقص امنیتی موجود در ویندوز را با استفاده از اصلاحیه منتشر شده توسط مایکروسافت برطرف کرد.