یکی از پیچیده ترین ویروس های دنیا، یعنی استاکس نت (Stuxnet) که احتمالاً نام آن را زیاد شنیده اید. این بدفزار از پیچیده ترین انواع ویروس در حوزه صنعتی شناخته شده که از اوایل سال 2007 و 2008 به هدف خرابکاری در حوزه صنعتی ایران توسط گروهی از شرکتها و نه یک یا چند نفر که مورد حمایت تعدادی از دولتها هم بود، طراحی و ایجاد شد. در حال حاضر روتین های شناسایی و پاکسازی این بدافزار که ماهیت جاسوسی دارد، تهیه شده و در signature darabase ویروس یابها به روز شده.
البته امکان اینکه این ویروس و یا ویروس های مشابه بطور خاموش بر روی سیستم های قربانین وجود داشته باشد و بعد از طی کردن دوره خواب خود و جمع آوری اطلاعات کافی از سیستم قربانی و تبادل آن با مرکز کنترل خودشون، فعالیت خرابکارانه خودشونو شروع کنند، وجود دارد، به همین جهت، پیشگیری همیشه و همیشه بهترین راه محسوب میشه که در انتهای مقاله به اون اشاره خواهد شد.
این بدافزار همانطور که گفته شد به قصد ایران نوشته شده بود که بعنوان یک جاسوس افزار صنعتی، اطلاعات داخلی سیستم های مراکز تولیدی و تحقیقاتی شرکت زیمنس را که در ایران نصب شده بودند را برای سروری در خارج از کشور ارسال می کرد.از این ویروس بعنوان پیچیده ترین نوع ویروس و نخستین بدافزار در حوزه plc نام می برند و در حال حاضر دو نسخه از آن شناسایی و ردگیری شده است و چه بسا نسخه های دیگر از آن بصورت خاموش در حال فعالیت باشند.
راه های انتشار این ویروس عبارت بودند از :
و موارد مشابه که منجر به ورود هر گونه بدافزاری به سیستم و یا شبکه خواهد شد که با توجه به سیستم های پیشرفته ای که بدافزارنویسان بکار می گیرند ، امکان شناسایی آنها بعد از ورود به سیستم های شبکه IT و یا صنعتی در لحظه وجود ندارد و بعد از گذشت مدت زمانی (از یک دقیقه گرفته تا یکسال و یا بیشتر ) اثرات مخرب آنها آشکار می شود.
گونه اول این بدافزار به نام W32/STUXNET.A فایلهایی بشرح زیر را در مسیرهای متفاوت ایجاد می کرد.
%WINDIR%\INF\MDMCPQ3.PNF %WINDIR%\INF\MDMERIC3.PNF %WINDIR%\INF\OEM6C.PNF %WINDIR%\INF\OEM7A.PNF %WINDIR%\DRIVERS\MRXNET.SYS %WINDIR%\DRIVERS\MRXCLS.SYS
و فایل زیر را بر روی فلش ایجاد می کند.
WTR4132.TMP~DROPREMOVABLE\COPY OF SHORTCUT TO.INK
فضای حافظه جدیدی در پروسس های سیستم ایجاد می کند.
%SYSTEM%\SVCHOST.EXE %SYSTEM%\LSASS.EXE
ماژول هایی در فضای آدرس دهی پروسس های دیگر ایجاد می کند.
%SYSTEM%\KERNEL32.DLL.ASLR.00024491 %SYSTEM%\KERNEL32.ALL.ASLR.0002353F %SYSTEM%KERNEL32.DLL.ASLR.000236DF
ایجاد کلیدهای رجیستری زیادی که در این مقاله نمی گنجد در سیستم قربانی بطور کاملا مخفیانه.
گونه دوم این بدافزار به نام W32/STUXNET.B
ماژولهایی در فضای آدرس دهی پروسس های دیگر اجرا می کرد که عبارت بودند از :
%SYSTEM%\SHELL32.DLL.ASLR.000B66C7 %SYSTEM%\SHELL32.DLL.ASLR.000B6654
البته این موارد، تنها گزیده ای از جزئیات مربوط به این ویروس بود که تنها جهت آشنایی با اینگوه ویروس ها و بدافزارها و نحوه عملکرد آنها ارائه شد. پیچیدگی این ویروس تا این حد بوده که برای آن مقالات و حتی پایان نامه در حوزه اینگونه بدافزارها تهیه و نوشته شده است.همانطور که در ابتدای مقاله اشاره شد، شاید تنها راه مقابله و مواجه نشدن با این بدافزارها، بکار گیری روشهای پیشگیرانه از قبیل موارد زیر باشد.