بد افزار دوکو، که سرورهای آن در هند قرار دارد و آدرس انیترنتی آن مسدود شده است، ویروسی مشابه بدافزار استاکس نت است.
یکی از تحلیلگران کامپیوتری که کد های این بد افزار را مطالعه کرده است از تشابه بسیار زیاد آن با کد های استاکس نت تعجب زده شده است. لیکن دوکو از امکانات ایمنی بیشتری برخوردار است.
محققین در حال بررسی موارد آسیب پذیر از این ویروس هستند و می گویند دوکو مانند یک ویروس “ترویان از راه دور” عمل می کند. هدف آن حمله به سازمان هایی است که دقیقا تعیین شده است. در یک عملیات آزمایشی انواع فایل های کامپیوتری که امکان آلوده شدن به این ویروس را داشتند مورد آزمون قرار گرفتند تا نحوه عمل آن مشخص تر شود. نحوه اشاعه این ویروس هنوز مشخص نشده است ولی موارد و موضوعاتی که توسط این بدافزار به سرقت برده می شود شامل حروفی که تایپ می شود، گذرواژه های مشترک، فهرست برنامه های در حال اجرا، مشخصات دامنه اینترنتی، اطلاعات شبکه و امثال آن است.
با توجه به شباهت های آن با کد استاکس نت، این بد افزار یا توسط مولفین استاکس نت طراحی شده و یا توسط کسانی که دسترسی کامل به کدهای آن داشته اند.
محققین نحوه آلوده شدن به این بدافزار را پیدا کرده اند ولی در مورد اینکه این بدافزار چگونه منتشر می شود به پاسخی دست پیدا نکرده اند. منابع احتمالی انتشار آن می تواند سایت های “کاذب”، یو اس بی و شبکه های به اشتراک گذاشته شده باشد. نحوه انتشار این بدافزار نیات اصلی طراحان آن را می تواند نشان دهد.
در این مورد مثالی بزنیم.
فرض کنیم این بد افزار از طریق اشتراک گذاری شبکه منتشر شود. در نتیجه می توان گفت که این بدافزار برای هدف گرفتن یک مورد خاص فعالیت می کند. این مورد خاص می تواند یک شرکت یا موسسه یا یک فرد در خانه باشد. راه دیگر نفوذ از طریق ایمیل است؛ ایمیلی با پیوست. در این حالت هدف بدافزار حمله همه جانبه به اطلاعات موجود و سرقت تمام اطلاعات شخصی است.
بر اساس این سناریو، بنا بر تحقیقات انجام شده، برخی از سازمان های اروپایی مورد حمله قرار گرفته اند. در این حالت، با توجه به شباهت آن به استاکس نت تعجب نخواهیم کرد اگر شرکت زیمنس مورد هدف قرار گرفته باشد.
طراحان بد افزار ها روش عجیبی برای درج امضای خود دارند. یک طراح روس شماره خودروی خود را در جایی از کد برافزار درج می کرد. در مورد دوکو بخشی از یک فایل تصویری ناسا وجود دارد که نشان دهنده برخورد دو کشهکشان است. با کمی تخیل شاید بتوانیم بگوئیم دوکو محصول امتزاج دو بدنه یا دو ایدئولوژی است.
دوکو با عمر مفیر 36 روز طراحی شده است که پس از آن از روی سیستم حذف می شود. این به معنی آن است که باید منتظر حمله وسیع تری باشیم که بر اساس اطلاعات گرد آوری شده در این مرحله انجام می شود.
دلیلی برای 36 روز پیدا نشده است.
سئوال دیگر آن است که چرا از کد استاکس نت برای گردآوری اطلاعات استفاده شده است درحالیکه روش های دیگری هم برای این کار وجود دارد.
شاید این کار به طراح آن این امکان را می دهد تا اطلاعات بیشتری در مورد گواهی ها و مجوز های اینترنتی گردآوری کند. در حالیکه گفته می شود هدف استاکس نت شکست دادن برنامه هسته ای ایران بوده است باید منتظر بود تا هدف نهایی دوکو روشن شود.
آنچه پیداست این است که هدف آن فعلا گردآوری اطلاعات است. میزان اطلاعات گردآوری شده تا این لحظه مشخص نیست.
منبع – اینفورمیشن ویک- 28 نوامبر
