شرکت سازنده آنتیویروس پادویش به دغدغه پیشامده بابت عدم شناسایی بدافزار TVRAT توسط پادویش پاسخ داد.
شرکت سازنده آنتیویروس پادویش به دغدغه پیشامده بابت عدم شناسایی بدافزار TVRAT توسط پادویش پاسخ داد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پادویش در واکنش به دغدغه مطرح شده کارشناسان امنیت سایبری درباره عدم شناسایی بدافزار TVRAT و بازتاب گسترده آن در شبکههای اجتماعی، اطلاعیهای به این شرح صادر کرد: «اخیرا خبر عدم شناسایی بدافزار مذکور از طریق فضای مجازی به سرعت دستبهدست شده و متن زیر پاسخ شرکت امنپرداز به مطالب منتشر شده است:
قبل از هر چیزی از کسانیکه عدم شناسایی این بدافزار را به پادویش تذکر دادند تشکر مینماییم و به جهت عدم شناسایی آن در طول مدت ۲ ماه گذشته از کاربران پادویش پوزش میطلبیم. در ادامه توضیحاتی درباره ماهیت این بدافزار و دلایل عدم شناسایی آن در مدت مذکور حضور خوانندگان محترم به عرض رسانده میشود.
بدافزار TVRat چیست؟ حروف TV در کلمه TVRat به معنی نرمافزار Team Viewer میباشد که یک نرمافزار سالم و قانونی مدیریت سیستم از راه دور میباشد.
بدافزار TVRat با نصب این نرمافزار در سیستم و کانفیگ نمودن آن جهت دسترسی از راه دور، در واقع به مهاجم اجازه دسترسی به سیستم را میدهد.
در این مطلب نسخهای از TVRat مورد بحث است که از چند روش فریب جهت دور ماندن از تشخیص استفاده میکند: ۱) فایل TVRat دارای یک امضای دیجیتال واقعی است. (این امضا اکنون revoke شده است) ۲) اطلاعات فایل TVRat مشابه برنامه نصب Team Viewer بوده و از کتابخانه برنامههای نصب متداول (InnoInstaller) استفاده نموده است. ۳) نتیجه اجرای بدافزار، قرار گرفتن نرمافزار قانونی Team Viewer میباشد.
تایملاین رصد و تشخیص TVRat توسط پادویش ۲۹ شهریور – اعلام خبر توسط bleepingcomputer ۳۰ شهریور – رصد فایل بدافزار توسط شبکه ابری پادویش در دو کلاینت ۳۰ شهریور – دریافت بدافزار توسط تیم رصد اخبار سایبری پادویش و ارسال به آزمایشگاه جهت بررسی ۳۱ شهریور – اعلام خبر توسط مرکز راهبردی افتا (به نقل از bleepingcomputer)
در این بازه متاسفانه علیرغم انجام رصد اولیه بهنگام انجام شده، فایل بدافزار در سیستم خودکار آزمایشگاه پادویش صرفا به عنوان مشکوک شناسایی شده – با توجه به روشهای فریب به کار رفته در بدافزار – و سیستم خودکار در مورد بدافزار بودن فایل به قطعیت نمیرسد. در این شرایط، تیکت جهت بررسی فایل توسط تیم تحلیل بدافزار ارجاع میگردد.
متاسفانه به دلیل وجود حجم بالای ورودی و اولویتبندی تیم تحلیل بدافزار که بدافزارهای جمعآوری شده و مبتلابه کاربران پادویش را با اولویت بالاتری بررسی میکند، تیکت بررسی این فایل با توجه به تحریم ایران توسط این نرمافزار در یک بازه زمانی و تصور عدم تاثیر آن در ایران (به دلیل سابقه تحریم Team Viewer) و آمار بسیار کم (دو کلاینت ازدو میلیون کلاینت) در شبکه ابری، با تاخیر مواجه شده و نهایتا انجام نمیگیرد.
۲۷ آبان – انتشار گسترده خبر عدم تشخیص TVRat توسط پادویش در کانالهای مجازی به صورت عمومی ۲۸ آبان – بررسی بدافزاری و مارک بدافزار در آزمایشگاه جهت تشخیص در شبکه ابری پادویش ۲۹ آبان – انتشار پایگاه امضای پادویش حاوی امضای «تشخیص سریع» بدافزار
سخن آخر روزانه بطور متوسط ۲۰۰ هزار فایل یکتا از مراجع مختلف مانند سیستمهای رصد پادویش، تلهعسلهای بینالمللی، و ... به آزمایشگاه بدافزار پادویش ارجاع میشود که عمده بررسی این حجم بدافزار توسط سیستمهای هوشمند خودکار و بقیه به صورت انسانی انجام میگیرد. متاسفانه در مورد جاری، با وجود رصد بهنگام و سریع، در مرحله بررسی بدافزار هر دو مولفه خودکار و انسانی موفق عمل نکردند.
آزمایشگاه بدافزار پادویش خود را مصون از اشتباه ندانسته، و همواره آماده دریافت نظرات و انتقادات دغدغهمندان امنیت از سراسر کشور میباشد.
در همین راستا، آدرس مستقیم تماس با آزمایشگاه بدافزار پادویش virus@amnpardaz.com جهت اعلام موضوعات مشابه مانند عدم تشخیص نمونههای بدافزاری یا سایر نقاط ضعف مربوط به تشخیص بدافزار در اختیار عموم میباشد و روزانه مواردی را دریافت و پاسخ میدهد.
در موضوع اخیر نیز، فارغ از نحوه و نیت اعلام مشکل، تیم آزمایشگاه بدافزار پادویش به محض اطلاع، اقدام به بررسی موضوع و رفع مساله نمود.
به علاوه موضوع با هدف یافتن علل ریشهای و برطرف نمودن آن، با بررسی روال کار و اولویتبندی فایلهای ورودی و نقاط ضعف سیستم خودکار آزمایشگاه هماکنون در حال بررسی میباشد تا موارد مشابه در آینده به حداقل برسند.»