نحوه مقابله با استاکس نت در دستگاههای تصویربرداری پزشکی

معاونت تحقیقات و فناوری وزارت بهداشت در اطلاعیه ای نسبت به آسیب پذیری دستگاههای تصویربرداری پزشکی در مقابل ویروس استاکس نت STUXNET هشدار داد و نحوه مقابله با این ویروس را اعلام کرده است.

به گزارش خبرنگار مهر، ویروس رایانه ای استاکس نت Stuxnet با هدف ایجاد اختلال در شرکتها و سازمانهای حیاتی، سیستمهای کنترل صنعتی در سراسر جهان را آلوده کرده و بنا بر گزارشات موجود بیشترین آلودگی در ایران مشاهده شده است.

معاونت تحقیقات و فناوری وزارت بهداشت یادآور شده است: با توجه به استفاده از سیستم های شرکت زیمنس در دستگاههای تصویربرداری پزشکی و آسیب پذیری این دستگاهها، به بیمارستانها و مراکز درمانی جهت پیشگیری از اختلال در عملکرد سیستمها هشدارهایی ارسال شده است.

روش های ممانعت از آلوده شدن سیستم به این ویروس رایانه ای و سایر ویروسها شامل فعال کردن دیوار آتش در درگاههای ورودی و خروجی، به روز رسانی ویندوز و استفاده از آنتی ویروسهای به روز است.

این تراوا اولین بار در تاریخ 17 جولای سال 2010 کشف شده و از طریق حافظه های جانبی Usb و یا از طریق ایمیل های آلوده به صورت تکنیکهای روتکیت خاص به صورت مخفیانه وارد سیستم شده و پس از ایجاد فایلی تقلبی با پسوند’LNK / PI F ‘ شروع به انتشار خود کرده و به این طریق وارد تمامی حافظه های جانبی و با تزریق خود به Internet Explorer از فایروال سیستم عبور می کند.

علائم آلودگی دستگاه به ویروس رایانه ای استاکس نت

ردیف	شکل فایل ها
1	در صورت وجود این فایلهای در سیستم %System%\drivers\mrxcls.sys
2	در صورت وجود این فایلهای در سیستم %System%\drivers\mrxnet.sys
3	در صورت وجود کلید های رجیستری : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls\”ImagePath” = “%System%\drivers\mrxcls.sys”
4	در صورت وجود کلید های رجیستری : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MrxNet\”ImagePath” = “%System%\drivers\mrxnet.sys”
5	ایجاد فایلهایی با پسوند Tmp. به صورت مخفی: %DriveLetter%\~WTR[FOUR NUMBERS].tmp

90 درصد آنتی ویروس های زیر قادر به شناسایی این ویروس رایانه ای شده اند با توجه به این که این تراوا از طریق حافظه های جانبی Usb و یا از طریق ایمیل آلوده به این ویروس منتشر می شود و فایل هایی را در سیستم ایجاد می کند و تغییراتی را در API رایانه ایجاد می کند و از طریق تغییر API های تغییر یافته فایل های ایجاد شده در سیستم را مخفی می کند.

این ویروس رایانه ای به محض ورود به سیستم قربانی شروع به جمع آوری اطلاعات مربوط به سرورهای موجود در شبکه و نحوه پیکر بندی آنها کرده و در نهایت تلاش می کند از طریق ارتباط راه دور به سایت هایی از جمله "windowsupdate" و "msn"و "mypremierfutbol" و "todaysfutbol" با استفاده از فایلهای آلوده خود را در حافظه های جانبی Usb کپی کند.

این تراوا با استفاده از آسیب پذیری سیستم یک درگاه جدید در سیستم ایجاد کرده و به شخص حمله کننده اجازه می دهد به صورت راه دور کنترل سیستم را به دست بگیرد.

امکان پاکسازی سیستم از چند طریق وجود دارد که در روش اول با استفاده از آنتی ویروس های معتبر سیستم اسکن می شود و به دلیل اینکه ممکن است تمامی فایلها به صورت کامل پاک نشوند در این صورت سیستم مجدداً راه اندازی می شود.

کد خبر 1237835