براي امضاي درايورها كه باعث بارگذاري بي دردسر آنها در سيستم عاملهاي 64 بيتي مي شود ، به شدت نيازمند امضاي ديجيتال هستيم. از سوي ديگر كمپاني هايي كه اين امضاها را مي فروشند ، همگي ايرانيان را مورد تحريم قرار داده اند. يك چرخه بسته ايجاد شده كه به هيچ روشي تا كنون به نتيجه نرسيده و در اين بين از سرزمين عجايب ويروسي به نام RootKit.TmpHider كشف مي شود كه امضاي معتبر دارد. تا اينجا صرفا ديدگاه هاي تجاري موضوع مهم بوده ، اما پس از اين كمي بحث تكنيكي شد. براي بررسي اين موضوع كه آيا واقعا امضاي اين فايل مربوط به RealTek هست يا نه ، جستجوهايي را انجام داده ايم كه در نهايت به اينجا رسيده است :
اين بحث شايد براي هيچ خواننده اي جالب نباشد ، اما با كمي دقت و تفحص و مطالعه متوجه چيزهاي جالبي خواهيم شد.
اول - مهم نيست كه Root ايران به عنوان CA مورد قبول باشد يا خير ، عزيزاني كه مهندسي معكوس دوست دارند مي توانند به جاي وقت تلف كردن با شكستن قفل نرم افزارها و يا كپي فروشي سي دي ها ، به مطالب مهم تري بپردازند كه حداقل منافع چند جانبه داشته باشد.
دوم - نتيجه مي گيريم كه MD5 براي ساخت Hash معتبر نيست و در نتيجه امضاها هم قابل شبيه سازي است.
سوم - نسل جديدي از ويروسها به صورت بسيار هوشمند بر اساس تحقيقاتي كه در بالا آدرسش آورده شده ، در حال توسعه و پراكندگي است كه مي توانيد با اين جستچو مطالب بيشتري درباره آنها بدانيد :
چهارم - شركت VBA يك ابزار با سايز كوچك براي Command Line ساخته كه مي توانيد مشكل RootKit شناسايي شده را توسط آن حل كنيد ، براي اطلاعات بيشتر به اين آدرس مراجعه كنيد : http://vba32-ir.com/virusnews4.htm
پنجم - ضد ويروسهايي كه Rootkit را شناسايي مي كنند در حال افزايش است . طبق گزارش Virustotal.com هم اكنون Kaspersky , Node32 , MacAfee , Microsoft و DrWeb آن را به ديتابيس خود افزوده اند.
ششم - از همكاران هفته نامه عصر ارتباط در مورد تيتر جذاب هفته جاري تشكر مي كنم ، مي توانيد مقاله را در اين آدرس بخوانيد :
و آخر آينكه ، ماجرا در كل دنيا به يك انفجار هسته اي انجاميد ، اين مطلب را براي توضيح كامل مطالعه فرماييد:
http://blogs.technet.com/b/mmpc/archive/2010/07/16/the-stuxnet-sting.aspx
These drivers are signed with a digital certificate belonging to a well-known hardware manufacturer called Realtek Semiconductor Corp., which is unusual because it would imply that the malware authors somehow had access to Realtek’s private key. Microsoft MMPC has been working with Verisign to revoke this certificate, and did so at 08:05:42 PM UTC with the agreement and support of Realtek.
