خبرنگار همشهری مطلع شد تیمی فنی در شرکت امنیتی پاندا، تحقیقات جامعی درباره میزان نفوذ این ویروس و رفتارهای آن در ایران و جهان، انجام داده است. به همین جهت دو نفر از اعضای تیم مذکور به همشهری دعوت شدند و در میزگردی حضوری به تشریح این یافتهها پرداختند.
متعاقب آن گزارشی فنی به سفارش همشهری در باره جزئیات این رویداد تهیه و در دسترس قرار گرفت. آنچه در پی میآید ترکیبی از گفتوگو با مهدی جان بزرگی مدیر فنی پاندا در ایران و اسماعیل ذبیحی کارشناس مسئول و گزارش رسمی این شرکت امنیتی است.
ابتدا وجود این ویروس بهعلت فعالیتهای تخریبی که برای آن بیان شد مانند سوزاندن مادربرد و یا پاک کردن غیرقابل بازگشت هارددیسک در محیط ویندوز، توسط بسیاری از کارشناسان مورد تایید قرار نگرفت اما تحقیقات فنی تازهای که توسط شرکت ایمنرایانه، نماینده رسمی و انحصاری شرکت امنیتی Panda Security در ایران انجام شده، نشان میدهد که نفوذ ویروس وایپر و یا دستکم نفوذ ویروس دیگری با عملکردهای کاملا شبیه به وایپر به برخی مراکز سازمانی کشور امکانپذیر بوده است. جالب اینجاست که طیفی از سازمانهای تابعه وزارت نفت ایران که به نرمافزارها یا سختافزارهای امنیتی متفاوت مجهز بودهاند، با اختلالهای ناشی از ویروس وایپر مواجه نشدهاند.
براساس گزارشهای تایید شده، تنها بخشهایی از این وزارتخانه آلوده شدهاند که از یک نوع خاص از برنامههای ضدویروس استفاده میکردهاند، به همین دلیل شائبه وجود حفرههای امنیتی اصلاحنشده در این نوع ضدویروس که اخیراً در رسانههای معتبر جهان منتشر شده بود، قوت بیشتری یافته است.
از طرف دیگر، نشریه معتبر Virus Bulletin در شماره اکتبر 2011 خود از پراکندگی نسبتا وسیع یک ویروس عجیب و غریب تنها در کشور کوبا خبر داد. روند گزارشدهی نیز بهنحوی بود که گویا فقط کامپیوترهای مجهز به همین ضدویروس بهصورت هدفدار مورد حمله واقع شدهاند. این ویروس که در آن زمان، W32/VRBAT نامگذاری شد، تنها در عرض چند روز، هزاران هارددیسک را فقط در محدوده کشور کوبا از کار انداخت و سپس بهطور ناگهانی کاملا محو شد!
با بررسی دقیق رایانههای آلوده، مشخص شد کلیه حافظههای جانبی متصل شده به این رایانهها، حاوی یک فایل اجرایی با عنوان USBCheck.exe بودند که بعدها بهعنوان عامل اصلی تخریب معرفی شد.شرکت ایمن رایانه، با همکاری شرکت پاندا در اسپانیا، موفق شد تا نمونهای از ویروس W32/VRBAT را به دست آورد و با بررسی رفتار و عملکرد این ویروس در لابراتوارهای ضدبدافزار خود، به نتایج بسیار جالبی دستپیدا کرد که تا حد زیادی پرده از راز ویروس حملهکننده به صنعت نفت برمیدارد.
براساس این یافتهها، کاربرانی که از برنامههای ایمنساز پورتهای یو اس بی، به محض اتصال حافظههای جانبی حاوی USBCheck.exe هدف حمله ویروس W32/VRBAT قرار میگیرند. درصورتی که کاربر سطح دسترسی بالایی در شبکه نداشته باشد، این ویروس، خود را در فولدر temp قرار داده و تمام حافظههای جانبی متصل شده به سیستم را تا زمان حصول دسترسی مدیریتی آلوده میکند.
اما درصورت اجرای ویروس با دسترسی سطح بالا، ویروس خود را به فولدر Windows و با نام svchost.exe منتقل میکند. اکنون پس از یک دوره خاموش که ویروس در آن تنها اقدام به انتشار خود از طریق حافظههای جانبی محافظت نشده میکند، مرحله بعدی تخریب آغاز میشود: ایجاد تغییر در فایلهای حیاتی سیستم و نیز کپی کردن دو فایل دیگر در پارتیشن نصب ویندوز که بستر را برای ضربه نهایی آماده میکند.
وقتی در آخرین مرحله، رایانه خود را روشن میکنید، به جای سیستم عامل فعلی شما، یک سیستم عامل دیگر توسط ویروس فعال میشود. حالا در این سیستم عامل ساده هر دستوری قابل اجراست. قفل کردن هارددیسک و یا فرمت کردن، پاک کردن و حتی حذف کامل (wipe) اطلاعات.
البته در کشور کوبا منتشرکنندههای ویروس تنها هارددیسکهای هدف را با استفاده از گذاشتن رمز عبور روی آن قفل کردند و نکته جالب اینکه رمز عبور هر کدام از هارددیسکها نیز شماره سریال آنها تعریف شده بود. یعنی در نهایت هیچ خطر و یا تهدید خاصی متوجه هیچ کدام از رایانههای آلوده نشد و در عمل شاهد هیچگونه اختلالی نبودیم!
آیا خرابکارهای اینترنتی در یک کشور کوچک آمریکای لاتین با شرایطی تقریبا بسته و غیرآزاد، تنها به آزمایش عملکرد یک ویروس رایانهای خطرناک پرداختهاند؟
با کنار هم نهادن تمام گزینهها میتوان فرضیه بسیار قدرتمندتری را نتیجه گرفت: حمله صورتگرفته در کشور کوبا را میشود نوعی تمرین و آزمایش برای حمله یا حملات بعدی به اهداف مهم و استراتژیک کشورهای دیگر جهان ازجمله ایران درنظر گرفت.
بهترین و موثرترین راهکار حفاظتی، درنظر گرفتن مرحله اصلی تخریب و جلوگیری از فعالیت این ویروس و یا ویروسهای مشابه در هنگام آغاز عملی حمله است. در این رابطه بهنظر نمیرسد که راهکارهای سنتی ویروسیابی یعنی شناسایی ویروسها بر مبنای فایل به روزرسانی موثر باشد. این یک راهکار پساکنترلی محسوب میشود و ویروسهای بسیار جدید معمولا از این سد دفاعی به راحتی عبور میکنند. نمونهای از قدرتمندترین روشهای حفاظت پیشگیرانه در مقابله با ویروسهای اینترنتی به فناوریTruPrevent مشهور است. این تکنولوژی حفاظتی میتواند به محض اجرای یک فایل، تمام رفتارها، حرکات و نحوه عملکرد آن را به سرعت بررسی کند تا درصورت مشکوک بودن یا مخرب بودن آن فایل، از ادامه اجرایش جلوگیری شود.
بنابراین، ویروسهای ثبت نشده و بسیار جدید نیز با این روش بهراحتی به دام میافتند و پس از قرنطیه شدن و تشخیص قابلیتهای تخریبی، در پایگاههای اطلاعات امنیتی و بهعنوان یک ویروس جدید ثبت میشوند. نصب اصلاحیههای امنیتی سیستم عامل روی تمام ایستگاههای کاری شبکه و نیز تعریف صحیح پیکربندی امنیت شبکه میتوانند در شناسایی و کنترل سریع و پیشگیرانه حملات و ویروسهای رایانهای مفید باشند.