فلیم ( به انگلیسی: Flame ) یا شعله که به عنوان Flamer یا sKyWlper و Skywiper نیز شناخته می شود، قطعه پیچیده ای از یک بدافزار کامپیوتر است که رایانه های با سیستم عامل ویندوز را مورد حمله قرار می دهد. این بدافزار از سال ۲۰۰۶ شروع به فعالیت کرده است و برای جاسوسی اینترنتی و تخریب اطلاعات مهم در کشورهای خاورمیانه و اروپای شرقی استفاده می شود. این بدافزار اولین بار در سال ۲۰۰۷ میلادی توسط آنتی ویروس های Prevx شناسایی شد.
... [مشاهده متن کامل]
در گزارش ها آمده که sKyWlper قطعاً پیچیده ترین نرم افزار مخرب بوده است که در طی فعالیتشان دیده شده است و مسلماً این پیچیده ترین نرم افزار مخربی بوده که تا کنون کشف شده است.
بررسی های اولیه نشان می داد که بیشترین آلودگی رایانه ای به ترتیب کشورهای ایران ۱۸۹ رایانه، اسرائیل ۹۸ رایانه، سودان ۳۲ رایانه را تحت تأثیر قرار داده است.
به نظر می رسد این بدافزار که اولین بار در سال ۲۰۰۷ توسط هوش مصنوعی آنتی ویروس های Prevx شناسایی شد، از سال ۲۰۰۶ شروع به فعالیت کرده باشد. فلیم در می ۲۰۱۲، به وسیلهٔ آزمایشگاه کاسپرسکی، مرکز واکنش سریع به مشکلات رایانه ای ایران و آزمایشگاه CrySyS دانشگاه تکنولوژی و اقتصاد بوداپست، تجزیه و تحلیل شد؛ هنگامی که اتحادیه بین المللی مخابرات سازمان ملل متحد از آزمایشگاه کاسپرسکی خواسته بود گزارش های حاکی از ویروس مؤثر بر رایانه های وزارت نفت ایران را بررسی کند. همان طور که آزمایشگاه کاسپرسکی بررسی کرده بود، آن ها یک ام دی۵ هَش و نام فایل که به نظر می رسید تنها بر روی ماشین های مشتری های خاورمیانه است را کشف کردند. بعد از کشف قطعات بیشتر محققان به برنامه نام فلیم ( شعله ) دادند. در ابتدا شرکت کاسپرسکی اعلام کرد که بدافزار فلیم از فوریه ۲۰۱۰ فعال شده است و بعداً CrySys گزارش داد که نام فایل کامپوننت اصلی در اوایل دسامبر ۲۰۰۷ مشاهده شده بود. با این حال تاریخ ایجاد آن به طور مستقیم مشخص نمی شود چون تاریخ ایجاد ماژول های مخرب به دروغ به اوایل سال ۱۹۹۴ تنظیم شده است. در بررسی های بعدی با کشف یک سرور که نرم افزار فلیم را کنترل می کرد مشخص شد که این بدافزار از سال ۲۰۰۶ فعال بوده است.
بدافزار یک برنامه نسبتاً بزرگ در اندازه ۲۰ مگابایت است که تا حدی با زبان برنامه نویسی لوا با کدهای سی++ لینک شده نوشته شده است و به ماژول های دیگر حمله کننده اجازه می دهد بعد از عفونت اولیه لود شوند. بدافزار از ۵ روش رمزنگاری مختلف استفاده می کند و یک پایگاه داده، اس کیوال لایت، برای ذخیره اطلاعات ساخت یافته استفاده می کند. روش مورد استفاده برای آلوده کردن کد در سایر پروسه ها به صورت مخفی است و ماژول های آلوده در لیست ماژول های لوده شده، در یک فرایند دیده نمی شوند. همچنین صفحات حافظه مورد استفاده تروجان، در برابر خواندن، نوشتن و اجرا کردن محافظت شده اند که در نتیجه به وسیلهٔ برنامه های سطح کاربر قابل دسترس نیستند.
... [مشاهده متن کامل]
در گزارش ها آمده که sKyWlper قطعاً پیچیده ترین نرم افزار مخرب بوده است که در طی فعالیتشان دیده شده است و مسلماً این پیچیده ترین نرم افزار مخربی بوده که تا کنون کشف شده است.
بررسی های اولیه نشان می داد که بیشترین آلودگی رایانه ای به ترتیب کشورهای ایران ۱۸۹ رایانه، اسرائیل ۹۸ رایانه، سودان ۳۲ رایانه را تحت تأثیر قرار داده است.
به نظر می رسد این بدافزار که اولین بار در سال ۲۰۰۷ توسط هوش مصنوعی آنتی ویروس های Prevx شناسایی شد، از سال ۲۰۰۶ شروع به فعالیت کرده باشد. فلیم در می ۲۰۱۲، به وسیلهٔ آزمایشگاه کاسپرسکی، مرکز واکنش سریع به مشکلات رایانه ای ایران و آزمایشگاه CrySyS دانشگاه تکنولوژی و اقتصاد بوداپست، تجزیه و تحلیل شد؛ هنگامی که اتحادیه بین المللی مخابرات سازمان ملل متحد از آزمایشگاه کاسپرسکی خواسته بود گزارش های حاکی از ویروس مؤثر بر رایانه های وزارت نفت ایران را بررسی کند. همان طور که آزمایشگاه کاسپرسکی بررسی کرده بود، آن ها یک ام دی۵ هَش و نام فایل که به نظر می رسید تنها بر روی ماشین های مشتری های خاورمیانه است را کشف کردند. بعد از کشف قطعات بیشتر محققان به برنامه نام فلیم ( شعله ) دادند. در ابتدا شرکت کاسپرسکی اعلام کرد که بدافزار فلیم از فوریه ۲۰۱۰ فعال شده است و بعداً CrySys گزارش داد که نام فایل کامپوننت اصلی در اوایل دسامبر ۲۰۰۷ مشاهده شده بود. با این حال تاریخ ایجاد آن به طور مستقیم مشخص نمی شود چون تاریخ ایجاد ماژول های مخرب به دروغ به اوایل سال ۱۹۹۴ تنظیم شده است. در بررسی های بعدی با کشف یک سرور که نرم افزار فلیم را کنترل می کرد مشخص شد که این بدافزار از سال ۲۰۰۶ فعال بوده است.
بدافزار یک برنامه نسبتاً بزرگ در اندازه ۲۰ مگابایت است که تا حدی با زبان برنامه نویسی لوا با کدهای سی++ لینک شده نوشته شده است و به ماژول های دیگر حمله کننده اجازه می دهد بعد از عفونت اولیه لود شوند. بدافزار از ۵ روش رمزنگاری مختلف استفاده می کند و یک پایگاه داده، اس کیوال لایت، برای ذخیره اطلاعات ساخت یافته استفاده می کند. روش مورد استفاده برای آلوده کردن کد در سایر پروسه ها به صورت مخفی است و ماژول های آلوده در لیست ماژول های لوده شده، در یک فرایند دیده نمی شوند. همچنین صفحات حافظه مورد استفاده تروجان، در برابر خواندن، نوشتن و اجرا کردن محافظت شده اند که در نتیجه به وسیلهٔ برنامه های سطح کاربر قابل دسترس نیستند.
