آزمایشگاه تحلیل بدافزار شرکت امن‌پرداز پاسخ داد
دلیل شناسایی نشدن بدافزار TVRAT توسط پادویش
کد مطلب: 18524
تاریخ انتشار : دوشنبه ۱ آذر ۱۴۰۰ ساعت ۱۱:۳۱
 
شرکت سازنده آنتی‌ویروس پادویش به دغدغه‌ پیش‌امده بابت عدم شناسایی بدافزار TVRAT توسط پادویش پاسخ داد.
دلیل شناسایی نشدن بدافزار TVRAT توسط پادویش
 
 
Share/Save/Bookmark
شرکت سازنده آنتی‌ویروس پادویش به دغدغه‌ پیش‌امده بابت عدم شناسایی بدافزار TVRAT توسط پادویش پاسخ داد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پادویش در واکنش به دغدغه مطرح شده کارشناسان امنیت سایبری درباره عدم شناسایی بدافزار TVRAT و بازتاب گسترده آن در شبکه‌های اجتماعی، اطلاعیه‌ای به این شرح صادر کرد:
«اخیرا خبر عدم شناسایی بدافزار مذکور از طریق فضای مجازی به سرعت دست‌به‌دست شده و متن زیر پاسخ شرکت امن‌پرداز به مطالب منتشر شده است:

قبل از هر چیزی از کسانی‌که عدم شناسایی این بدافزار را به پادویش تذکر دادند تشکر می‌نماییم و به جهت عدم شناسایی آن در طول مدت ۲ ماه گذشته از کاربران پادویش پوزش می‌طلبیم. در ادامه توضیحاتی درباره ماهیت این بدافزار و دلایل عدم شناسایی آن در مدت مذکور حضور خوانندگان محترم به عرض رسانده می‌شود.

بدافزار TVRat چیست؟
حروف TV در کلمه TVRat به معنی نرم‌افزار Team Viewer می‌باشد که یک نرم‌افزار سالم و قانونی مدیریت سیستم از راه دور می‌باشد.

بدافزار TVRat با نصب این نرم‌افزار در سیستم و کانفیگ نمودن آن جهت دسترسی از راه دور، در واقع به مهاجم اجازه دسترسی به سیستم را می‌دهد.

در این مطلب نسخه‌ای از TVRat مورد بحث است که از چند روش فریب جهت دور ماندن از تشخیص استفاده می‌کند:
۱) فایل TVRat دارای یک امضای دیجیتال واقعی است. (این امضا اکنون revoke شده است)
۲) اطلاعات فایل TVRat مشابه برنامه نصب Team Viewer بوده و از کتابخانه برنامه‌های نصب متداول (InnoInstaller) استفاده نموده است.
۳) نتیجه اجرای بدافزار، قرار گرفتن نرم‌افزار قانونی Team Viewer می‌باشد.

تایم‌لاین رصد و تشخیص TVRat توسط پادویش
۲۹ شهریور – اعلام خبر توسط bleepingcomputer
۳۰ شهریور – رصد فایل بدافزار توسط شبکه ابری پادویش در دو کلاینت
۳۰ شهریور – دریافت بدافزار توسط تیم رصد اخبار سایبری پادویش و ارسال به آزمایشگاه جهت بررسی
۳۱ شهریور – اعلام خبر توسط مرکز راهبردی افتا (به نقل از bleepingcomputer)

در این بازه متاسفانه علی‌رغم انجام رصد اولیه بهنگام انجام شده، فایل بدافزار در سیستم خودکار آزمایشگاه پادویش صرفا به عنوان مشکوک شناسایی شده – با توجه به روش‌های فریب به کار رفته در بدافزار – و سیستم خودکار در مورد بدافزار بودن فایل به قطعیت نمی‌رسد.
در این شرایط، تیکت جهت بررسی فایل توسط تیم تحلیل بدافزار ارجاع می‌گردد.

متاسفانه به دلیل وجود حجم بالای ورودی و اولویت‌بندی تیم تحلیل بدافزار که بدافزارهای جمع‌آوری شده و مبتلابه کاربران پادویش را با اولویت بالاتری بررسی می‌کند، تیکت بررسی این فایل با توجه به تحریم ایران توسط این نرم‌افزار در یک بازه زمانی و تصور عدم تاثیر آن در ایران (به دلیل سابقه تحریم Team Viewer) و آمار بسیار کم (دو کلاینت ازدو میلیون کلاینت) در شبکه ابری، با تاخیر مواجه شده و نهایتا انجام نمی‌گیرد.

۲۷ آبان – انتشار گسترده خبر عدم تشخیص TVRat توسط پادویش در کانال‌های مجازی به صورت عمومی
۲۸ آبان – بررسی بدافزاری و مارک بدافزار در آزمایشگاه جهت تشخیص در شبکه ابری پادویش
۲۹ آبان – انتشار پایگاه امضای پادویش حاوی امضای «تشخیص سریع» بدافزار

سخن آخر
روزانه بطور متوسط ۲۰۰ هزار فایل یکتا از مراجع مختلف مانند سیستم‌های رصد پادویش، تله‌عسل‌های بین‌المللی، و ... به آزمایشگاه بدافزار پادویش ارجاع می‌شود که عمده بررسی این حجم بدافزار توسط سیستم‌های هوشمند خودکار و بقیه به صورت انسانی انجام می‌گیرد. متاسفانه در مورد جاری، با وجود رصد بهنگام و سریع، در مرحله بررسی بدافزار هر دو مولفه خودکار و انسانی موفق عمل نکردند.

آزمایشگاه بدافزار پادویش خود را مصون از اشتباه ندانسته، و همواره آماده دریافت نظرات و انتقادات دغدغه‌مندان امنیت از سراسر کشور می‌باشد.

در همین راستا، آدرس مستقیم تماس با آزمایشگاه بدافزار پادویش virus@amnpardaz.com جهت اعلام موضوعات مشابه مانند عدم تشخیص نمونه‌های بدافزاری یا سایر نقاط ضعف مربوط به تشخیص بدافزار در اختیار عموم می‌باشد و روزانه مواردی را دریافت و پاسخ می‌دهد.

در موضوع اخیر نیز، فارغ از نحوه و نیت اعلام مشکل، تیم آزمایشگاه بدافزار پادویش به محض اطلاع، اقدام به بررسی موضوع و رفع مساله نمود.

به علاوه موضوع با هدف یافتن علل ریشه‌ای و برطرف نمودن آن، با بررسی روال کار و اولویت‌بندی فایل‌های ورودی و نقاط ضعف سیستم خودکار آزمایشگاه هم‌اکنون در حال بررسی می‌باشد تا موارد مشابه در آینده به حداقل برسند.»
مرجع : Ping Channel