مسئول و ناظر ارشد - مدیر تالار موبایل و دوربین دیجیتال
تاریخ عضویت: Jul 2010
محل سکونت: هر کجا هستم باشم،آسمان مال من است!
نوشته ها: 7,439
سپاسها: : 4,552
4,939 سپاس در 1,683 نوشته ایشان در یکماه اخیر
ابزار تشخیص و پاكسازی بدافزار Flame - دانلود Flame Removal Tool - دانلود برنامه حذف ویروس Flame (شعله آتش)
ابزار تشخیص و پاكسازی بدافزار Flame - دانلود Flame Removal Tool - دانلود برنامه حذف ویروس Flame (شعله آتش)
مرکز ماهر در این خصوص چنین توضیح داده است:
این حمله توسط بدافزاری كه از این پس با نام Flame(شعله آتش) معرفی خواهد شد صورت میگیرد.
این نام برگرفته از محتویات رمزگشایی شده فایلهای اصلی بدافزار است. این بدافزار در واقع پلتفرمی است كه قابلیت دریافت و نصب ابزارهای گوناگون جهت فعالیتهای مختلف را داراست.
در حال حاضر هیچكدام از اجزای پرشمار تشكیل دهنده این بدافزار توسط بیش از ۴۳ نرمافزار آنتیویروس در دسترس مورد شناسایی قرار نمیگیرند.
با این وجود ابزار شناسایی و پاكسازی این بدافزار در مركز ماهر تهیه شده و از امروز در اختیار سازمانها و شركتهای متقاضی قرار خواهد گرفت.
ابزار تشخیص و پاكسازی بدافزار Flame - دانلود Flame Removal Tool - دانلود برنامه حذف ویروس Flame (شعله آتش)
__________________
تازه تر کن داغ ما را، طاقت دوری نمانده
شِکوه سر کن، در تن ما تاب مهجوری نمانده
پر گشاید شور و شیون از جگرها ای دریغ !
دل به زخمی شعله ور شد، جان به عشقی مبتلا
بر نتابد سینه ما داغ چندین ماجرا
تازه شد به هوای تو دل تنگ ما ای وای !
ویرایش توسط مهدی : 05-30-2012 در ساعت 11:39 PM
2 کاربر زیر از مهدی سپاسگزاری کرده اند برای پست مفیدش:
دانلود برنامه حذف ویروس Flame (شعله آتش) - نرم افزار از بین بردن بدافزار Flame برای ویندوز 32 و 64 بیتی
__________________
تازه تر کن داغ ما را، طاقت دوری نمانده
شِکوه سر کن، در تن ما تاب مهجوری نمانده
پر گشاید شور و شیون از جگرها ای دریغ !
دل به زخمی شعله ور شد، جان به عشقی مبتلا
بر نتابد سینه ما داغ چندین ماجرا
تازه شد به هوای تو دل تنگ ما ای وای !
به سلامت و صحت و امنیت هر انچه که منتشر میشود اعتمادی نیست خصوصا که از سایت های معتبر و رسمی ای نباشد که در مورد لینک پست شما هم صدق میکند
مبادا که یک روز ناخواسته و نادانسته در افزایش گسترش یک بدافزار دیگر عامل شده باشیم .
لطفا لینکهای رسمی و مرجع از سایتهای انتی ویروسهای بزرگ رو جایگزین فایلهای فعلی کنید و پست بنده رو هم ویرایش بفرمایید (تنها در انتهای ان ذکر کنید که انجام شد ) فایل ضمیمه را نیز جایگزین کنید .
__________________
مرا سر نهان گر شود زير سنگ -- از آن به كه نامم بر آيد به ننگ
به نام نكو گر بميــرم رواست -- مرا نام بايد كه تن مرگ راست
مرکز ماهر متعلق به وزارت ارتباطات و فناوری و ... هستش.
لینک حذف این بدافزار هم در اینجاست
من هم از اخبار 20:30 برنامه وبگردی اینجا رو پیدا کردم و در سایت پلیس فتا هم ذکر شده.
اون دوتا هم دیگه آنتی ویروس بیت دفندر منتشر کرده.
اگه باز ایرادی داره حذفش کنم؟
__________________
تازه تر کن داغ ما را، طاقت دوری نمانده
شِکوه سر کن، در تن ما تاب مهجوری نمانده
پر گشاید شور و شیون از جگرها ای دریغ !
دل به زخمی شعله ور شد، جان به عشقی مبتلا
بر نتابد سینه ما داغ چندین ماجرا
تازه شد به هوای تو دل تنگ ما ای وای !
مسئول و ناظر ارشد - مدیر تالار موبایل و دوربین دیجیتال
تاریخ عضویت: Jul 2010
محل سکونت: هر کجا هستم باشم،آسمان مال من است!
نوشته ها: 7,439
سپاسها: : 4,552
4,939 سپاس در 1,683 نوشته ایشان در یکماه اخیر
Cyber Espionage Reaches New Levels with Flamer
Cyber Espionage Reaches New Levels with Flamer
Download the 32-Bit or 64-Bit Removal Tools and find out if you’re infected with Flamer, the world’s most discrete and dangerous piece of malware ever. If you are already protected by a Bitdefender security solution, you do not need to run the removal tool.
Update 2: As we’re digging into Flamer.A, new details about the piece’s modus operandi surface. The team working on it have uncovered that several components use an internal list called NetworkTypeIdentifier. This list references high-profile web sites such as *.overture.* , *.gmail.*, *.hotmail.* , *.bbc.co.* , *.bbc.co.* that are probed in order to get information about the bandwidth capabilities of the connection. However, the list also references three Iranian websites (*.baztab.* , *.maktoob.* , *.gawab.*) , which confirms once again that Iran was one of the designated targets.
Closer inspection of the EUPHORIA module revealed that it controls the spreading mechanism via USB sticks. The USB spreading capabilities are re-enforced with a secondary component called AUTORUN_INFECTOR that is being used to exploit the operating system’s Autorun feature.
[fragment of the configuration file for the EUPHORIA module]
EUPHORIA.PayloadNamesList.1.data.PayloadName string Lss.ocx
EUPHORIA.PayloadNamesList.2.data.PayloadName string System32.dat
EUPHORIA.PayloadNamesList.3.data.PayloadName string NtVolume.dat
LUA script controlling the EUPHORIA component
We have also identified that the JIMMY component is one of the modules that deal with data leakage. Analysis revealed that the Flamer.A Trojan siphons any type of files, with a focus on documents, pictures and CAD files. Preliminary analysis also outlined that the MICROBE component is used to record audio and upload the captured audio streams to a remote location.
[fragment of the configuration file for the MICROBE module]
MICROBE.DEFAULT_RATE dword 20000
MICROBE.SAMPLING_RATE dword 32000
MICROBE.MIN_ENERGY dword 0
MICROBE.SEGMENT_LENGTH_SECS dword 600
MICROBE.RUN_MODE dword 3
Last, but not least, the GATOR component seems to be responsible with communication between the infected host and the C&C servers. Other components (FROG, FLASK, GADGET, MUNCH and SNACK) are currently under the microscope. We will update the article as we analyse the other modules.
Update 1: We have just discovered that Trojan.Flamer.A comes with yet another controversial component, suggestively named SUICIDE. This component is used to automatically clean up the system when the appropriate command is issued by remote attackers. The SUICIDE module references more than 70 files (part of the Flamer framework) that should be wiped out from the system in order to deter any forensics analysis on the system. The referenced files are listed below:
The discovery of Stuxnet back in 2010 sparked intense debate on the state of security in cyber-space. But, even though Stuxnet has been successfully identified, isolated and dealt with, its predecessor (and companion, as well) has managed to remain undetected all this time by employing stunning tactics that likely make it the most advanced e-threat in the world to date.
When state-of-the-art malware detection works against intelligence gathering
This new e-threat, identified by Bitdefender as Trojan.Flamer.A appears to have emerged before Stuxnet and Duqu hit. All this time, it has operated discreetly, and even if it some of its components were detected when Stuxnet was discovered, the AV industry couldn’t see how deep the operation ran.
On average, between 15,000 and 35,000 unique malware samples appear daily, which makes manual analysis or individual identification technically unfeasible. Most antivirus vendors rely on generic detections and heuristics to cover as much as possible of this malicious pool. Subsequently, the features Flamer.A shared with Stuxnet made antivirus products detect it as a generic Stuxnet sample. This, along with some other technical features allowed it stay hidden, although its operation was impacted.
At a glance, the Flamer.A Trojan appears much more advanced than Stuxnet. This complex and flexible piece of malware was built using a variety of technologies ranging from LUA scripting to assembly language. Its modular structure makes it extremely flexible and apparently able to carry out any task for its attackers.
The Flamer Trojan includes a spying component, called nteps32.ocx. This component, named REAR_WINDOW has an earlier version called comspol32.ocx that has definitely been around since the end of 2010 and is well detected by antivirus vendors with miscellaneous signatures.
Bitdefender also managed to isolate a new component called atmpsvcn.ocx that dates approximately in October 2010 and that is also detected as Stuxnet. Its purpose is unknown yet, as it is pending analysis, but preliminary data point to it being used for USB drive spreading and detection of AV solutions installed on the PC.
We mentioned that Flamer.A makes heavy use of LUA scripts. Bitdefender identified 62 such scripts used by the malware to control everything, from loading the OCX modules to regulating data exchange between these components. Among others, these highly specialized LUA modules can circumvent some antivirus solutions, control the theft of information from the infected PC or download new malicious components as they get updated. Combined, these LUA scripts are built of more than 6500 lines of code.
Fig. 1: Core LUA scripts copied on the USB drive
SSL encryption working against the user
If encrypting data as it gets sent over the web is usually beneficial for the user, Flamer.A uses it against them. The infected PCs connect to an array of servers to which they send encrypted data over HTTPS. The data packages we intercepted and decrypted were buffers of about 100 kilobytes that apparently carry files with various sizes. The one we intercepted was 108.116 bytes and was encrypted with the “LifeStyle2” password, but using a currently unknown algorithm. This might be either a file leaked from the infected PC or an activity log file sent to the C&C. It also appears that the file was sent by the leak_app.lua script.
Fig. 2: Decrypted traffic sent over HTTPS
The other C&C servers we tested during the preliminary analysis (quick-net.info, smart-access.net, traffic-spot.biz and traffic-spot.com) now respond with “404: Not Found”, which probably means that the group behind their operation is shutting down the business or switching to newer servers.
Designed to leak files via USB in isolated systems
Although the Flamer.A Trojan is not concealed by a rootkit, it uses a series of tricks to stay hidden and stealthily export stolen data. One of the its most amazing stunts is the creation of a file on the USB stick simply named “.” (dot).
Fig. 3: FAT root directory listing
Even if the short name for this file is HUB001.DAT, the long name is set to “.”, which is interpreted by Windows as the current directory. This makes the OS unable to read the contents of the file or even display it.
A closer look inside the file reveals that it is encrypted with a substitution algorithm. Once decrypted, the contents reveal a SQL schema containing the activity of the malware on the infected system, such as Core LUA components with attributes such as ‘SPREADABLE’, a log of leaked files, as well as an event log detailing the activity of every single LUA module.
Fig. 4: SQL Schema dumped on the USB drive
This logging activity, apparently controlled by the Euphoria LUA module, is likely related to data theft from systems that are not connected to the Internet in any way. Since most sensitive targets operate in isolated environments where data can’t be leaked out via a connection to the Internet, the malware dumps this SQL schema on the USB drive, and will probably send it to the attackers when the disk is plugged into a computer with access to the internet.
source:labs bitdefender
Cyber Espionage Reaches New Levels with Flamer
__________________
تازه تر کن داغ ما را، طاقت دوری نمانده
شِکوه سر کن، در تن ما تاب مهجوری نمانده
پر گشاید شور و شیون از جگرها ای دریغ !
دل به زخمی شعله ور شد، جان به عشقی مبتلا
بر نتابد سینه ما داغ چندین ماجرا
تازه شد به هوای تو دل تنگ ما ای وای !
نه مهدی جان منظورم این هست که شما لینک پارسا اسپیس گذاشته ای و وقتی کسی میخواد بیاد دانلود کنه اگه یه ذره امنیت بدونه به هیچ وجه دانلودش نمیکنه چون هیچ چک سامی از فایل هم اعلام نکرده ایم مثلا اگر md5 اون رو اعلام میکردیم میتونستن دانلود کنند که وقتی بشه از سایت اصلی لینک داد دیگه اصلا نیازی به این نیست .
ما در تیتر خبر گفته ایم فلان شرکت معتبر
اما لینکش لینک از سایت خودمون و یا پارسا اسپیسه بازدید کننده های گرامیمون از کجا اعتماد کنند که این فایلی که دارند توسط سایت ما باهاش اشنا میشن یه فایل سالم و مطمئنه و همون سایته که فلان شرکت ارائه داده ؟
این رو برای همیشه نمیگم که هیچ وقت هیچ فایلی جایی اپلود نشه همیشه زحمت میکشی در اکانت خودت در پارسا اسپیس این کارو میکنی خیلی هم خوبه
ولی وقتی یه چیزی به این حساسیت پیش میاد قطعا هیچ کس اعتماد نخواهد داشت به لینکهای غیر رسمی ..
__________________
مرا سر نهان گر شود زير سنگ -- از آن به كه نامم بر آيد به ننگ
به نام نكو گر بميــرم رواست -- مرا نام بايد كه تن مرگ راست
کاربران زیر از دانه کولانه به خاطر پست مفیدش تشکر کرده اند :
اما لینکش لینک از سایت خودمون و یا پارسا اسپیسه بازدید کننده های گرامیمون از کجا اعتماد کنند که این فایلی که دارند توسط سایت ما باهاش اشنا میشن یه فایل سالم و مطمئنه و همون سایته که فلان شرکت ارائه داده ؟
از این نظر ایمن بودن فایلها می فرمایی کاملا صحیح هست و به عقلم نرسیده بود
چون خودم از اون سایتهای معتبر دانلود کردم خاطرم جمع بود.
حالا حالا باید آموزش ببینیم استاد
__________________
تازه تر کن داغ ما را، طاقت دوری نمانده
شِکوه سر کن، در تن ما تاب مهجوری نمانده
پر گشاید شور و شیون از جگرها ای دریغ !
دل به زخمی شعله ور شد، جان به عشقی مبتلا
بر نتابد سینه ما داغ چندین ماجرا
تازه شد به هوای تو دل تنگ ما ای وای !
کاربران زیر از مهدی به خاطر پست مفیدش تشکر کرده اند :
سازندگان بدافزار "فلیم" به آن دستور 'خودکشی' دادهاند
سازندگان بدافزار "فلیم" به آن دستور 'خودکشی' دادهاند
سازندگان بدافزار "فلیم" (Flame)، که با حمله به کامپیوترهایی در چند کشور، از جمله ایران و اسرائیل به جمعآوری اطلاعات میپرداخت، با فرستادن دستور "خودکشی"، آن را از برخی کامپیوترهای آلوده پاک کردهاند.
شرکت امنیت کامپیوتری "سیمانتک" (Symantec) با طعمه قرار دادن بعضی از کامپیوترهای آلوده، موفق به تحت نظر گرفتن فعالیتهای این بدافزار و ردیابی فرمان خودکشی شده است.
کارشناسان میگویند ساختار و نحوه عملکرد "فلیم" به حدی پیشرفته است که ساختش نمیتواند کار هکرهای مستقل باشد و احتمالا با حمایت دولتی خلق شده است.
شرکت سیمانتک اعلام کرده است که در بعضی از کامپیوترهایی که به "فلیم" آلوده شده بودند، رد فرمانی فوری از طرف سازندگانش را پیدا کرده اند که "برای پاک کردن کامل بدافزار "فلیم" از روی کامپیوترها طراحی شده بود."
این دستور ضمن پاک کردن بدافزار، جای آن را با اطلاعات مخدوش پر میکرده است تا تحقیقات احتمالی را خنثی کند.
سیمانتک در وبلاگش نوشته است: "این دستور میخواهد هیچ ردی از آلودگی پشت سرش باقی نماند."
کارشناسان رمزنگاری میگویند "فلیم" اولین بدافزاری است که بر اساس یک تکنیک رمزگذاری غیر قابل تشخیص که نخستین بار در سال ۲۰۰۸ معرفی شده بود به جعل گواهینامههای دیجیتال و گسترش خود میپردازد.
مارک استیونس، از موسسه تحقیقاتی سیدبلیوآی نوشته است: "طراحی این بدافزار از به کارگیری رمزنگاران بسیار خبره و تراز اول جهانی حکایت می کند."
این یافتهها گمانهزنیهایی را که ساخت "فلیم" را به یک دولت منتسب میکرد تقویت میکند.
__________________
مرا سر نهان گر شود زير سنگ -- از آن به كه نامم بر آيد به ننگ
به نام نكو گر بميــرم رواست -- مرا نام بايد كه تن مرگ راست
2 کاربر زیر از دانه کولانه سپاسگزاری کرده اند برای پست مفیدش: