ساختار استاكسنت به محققان اجازه ميداد تا هر آلودگي را از رايانه اوليه كه آلودگي از آن آغاز شده بود دنبال كنند؛ آنان دريافتند كه مهاجمها حملات خود را بر پنج سازمان در ايران متمركز كردند كه قرار بود درهايي به سوي هدف آنان باشند.
به گزارش گرداب، سايت "وايرد دات كام" در گزارشي مفصل، "استاكسنت" را رمزگشايي و اهداف آن را در حمله به تأسيسات هستهاي ايران بررسي كرد. در بخش سوم اين مقاله با روشهاي عملكرد و انتشار اين ويروس بيشتر آشنا ميشويم و به استفاده "استاكسنت" از اشكالات موجود در ويندوز پي ميبريم.
اخبار اوليه از "روز صفر"هاي بيشتر در "استاكسنت"
"چين" به "او مورچو" گفت: «من تنها يك چيز را به تو نشان ميدهم؛ اما تا آخر امشب در مورد آن صحبت نميكنيم.» سپس ايميلي را به "او مورچو" نشان داد. محققي در اين ايميل گفته بود كه حفرههاي "روز صفر" بيشتري در "استاكسنت" مخفي هستند.
تأييد وجود "روز صفر"هاي بيشتر در "استاكسنت"
"او مورچو" به "چين" نگاهي انداخت. آنان ماهها بر سر "استاكسنت" غصه خورده و نشانههايي را مبني بر وجود حفرههاي ديگر ديده بودند، اما هيچگاه اين نظريه آنان اثبات نشده بود. ايميل جزئيات روشني ارائه نداده بود. اما همين كه فرد ديگري نيز، در حد خودش، گفته بود كه "روز صفر"هاي بيشتري در "استاكسنت" وجود دارد كافي بود تا روحيه رقابتجويي "او مورچو" را برانگيزد.
پيدا شدن سه "روز صفر" جديد در ساختار "استاكسنت"
روز بعد، "او مورچو" در دفتر خود مشغول كند و كاو كد "استاكسنت" شد و بر بخشي تمركز كرد كه اين ويروس براي گسترش از آن استفاده ميكرد. وي سپس يافتههاي خود را آزمايش و ثبت كرد. وي در اواسط عصر براي هوا خوري بيرون آمد و يادداشتهايش را به "چين" داد؛ وي نيز بعد از ظهر را صرف كار روي كد ويروس كرد. تا آخر هفته اين دو نفر سه "روز صفر" ديگر را پيدا كرده بودند.
استفاده همزمان "استاكسنت" از اشكالهاي ويندوز و نرمافزار "استپ 7"
"استاكسنت" علاوه بر اشكال در LNK ويندوز، از اشكالي در برنامه پرينتر رايانههاي داراي ويندوز استفاده ميكرد تا در رايانههاي داراي پرينتر مشترك پخش شود. "روز صفر"هاي سوم و چهارم از اشكالات در فايل كيبورد و فايل "برنامهريزي وظايف" ويندوز بهره ميبرد تا توانايي مهاجمها را در استفاده از رايانه آلوده بالا ببرد و كنترل كامل دستگاه را به آنان بدهد.
به علاوه، "استاكسنت" از يك رمز عبور ثابت استفاده ميكرد كه "زيمنس" در برنامه "استپ 7" قرار داده بود. ويروس از اين رمز عبور استفاده ميكرد تا كنترل سروري را كه با استفاده از "استپ 7" ميزباني پايگاه داده را به عهده داشت، به دست بگيرد و آن را آلوده كند و به اين ترتيب رايانههاي ديگر متصل به آن سرور را نيز آلوده کند.
"استاكسنت" تنها در شبكههاي محلي گسترش مييافت
مهاجمها مصمم بودند تا نرمافزار مخرب خود را منتشر كنند؛ اما با روشهايي كه به شكل مرموزي محدود بود. بر خلاف اغلب برنامههاي مخرب كه از ايميل و سايتهاي مخرب براي به يكباره آلوده كردن تعداد زياد قربانيان استفاده ميكنند، هيچ كدام از روشهاي "استاكسنت" از اينترنت استفاده نميكرد؛ همگي از شبكههاي محلي (LAN) استفاده ميكردند.
تنها يك راه اصلي براي سرايت "استاكسنت" از ساختماني به ساختمان ديگر وجود داشت: از طريق يك فلش مموري كوچك كه در جيب فرد به طور غير قانوني وارد ساختمان شده باشد.
به نظر ميرسيد مهاجمها قصد داشتهاند سيستمهايي را هدف قرار دهند كه به اينترنت متصل نيستند و از آن جا كه از چهار "روز صفر" استفاده ميكردند؛ اين اهداف بايد از اهميت بالايي برخوردار ميبودند.
روش عجيب "استاكسنت" در حمله به رايانههاي هدف
روش حمله، روشي بسيار بينظم و غير دقيق بود؛ مانند اين بود كه يكي از همسران "اسامه بن لادن" را به ويروسي نادر آلوده كنيد به اميد اين كه او اين ويروس را به رهبر القاعده انتقال دهد. اين روش افراد ديگر غير از هدف را آلوده ميكرد و احتمال افشا شدن توطئه را بالا ميبرد.
اشتباه "استاكسنت" در روش حملهاش
اين دقيقاً همان چيزي بود كه براي "استاكسنت" اتفاق افتاد. محققان "سيمانتك" متوجه شدند كه تمام نمونههاي اين كرم داراي نام دومين و زمان هر سيستمي بود كه آن را آلوده ميكرد. اين به محققان اجازه ميداد تا هر آلودگي را تا رايانه اوليه كه آلودگي از آن آغاز شده بود دنبال كنند.
آنان دريافتند كه مهاجمها حملات خود را بر پنج سازمان در ايران متمركز كردند كه قرار بود درهايي به سوي هدف آنان باشند. اين پنج سازمان بارها در آلودگيهايي جداگانه در ژوئن و ژوئيه 2009 و بار ديگر در مارس، آوريل و مه 2010 مورد هدف قرار گرفتند. اما به دليل "روز صفر"هايي كه در "استاكسنت" از آنها استفاده شده بود، اين ويروس به بيرون از اين سازمانها منتشر شد و پشت سر خود ردي از آلودگي را مانند يك صورت فلكي بر جاي گذاشت.
"سيمانتك" "روز صفر"هاي جديدي را كه در كد ويروس شناسايي كرده بود به اطلاع مايكروسافت و ساير شركتهاي آنتيويروس رساند؛ اين شركتها نيز در آرشيو خود جستجو كردند تا در صورت وجود، سابقه استفاده از اين "روز صفر"ها را بيايند.
"روز صفر"هاي "استاكسنت" قبلاً در بدافزارهای ديگر استفاده شده بودند
اين شركتها به شكلي غير قابل باور دريافتند كه از يك حفره LNK براي حمله به همين اشكال در "اكسپلورر ويندوز" قبلاً در نوامبر سال 2008 نيز استفاده شده است. از اين حفره براي انتشار نوعي از تروجان "زيلاب" (Zlob) استفاده شده بود؛ اين تروجان بر روي رايانه آلوده برنامههاي تبليغاتي (adware) و يا ورود غير مجاز به سيستم (backdoor) را نصب ميكرد. اين نوع از "زيلاب" به طور اتوماتيك در شركتهاي آنتيويروس شناسايي و پردازش شده بود؛ اما "روز صفر" آن اصلاح نشده بود. پس از اين مورد، حفره نام برده بار ديگر در "استاكسنت" مورد استفاده قرار گرفت.
"مايكروسافت" اشكال در برنامه پرينتر ويندوز را برطرف نكرد
اشكال در برنامه پرينتر ويندوز نيز قبلاً آشكار شده بود. مجلهاي امنيتي در لهستان، آوريل 2009 مقالهاي را شامل جزئيات اين اشكال و حتي كد منبع براي استفاده از راه دور از اين حفره منتشر كرد. "مايكروسافت" هيچ گاه از اين اشكال اطلاع پيدا نكرد و در نتيجه پچي (بستهاي) نيز براي رفع آن نساخت.
حتي رمز عبور ثابت پايگاه داده "زيمنس" نيز قبلاً بر ملا شده بود. فردي با نام "سايبر" در آوريل 2008 اين رمز عبور را در يك انجمن آنلاين آلماني و روسي كه به محصولات "زيمنس" اختصاص داشت، نوشته بود.
ادامه پرسشها در مورد منابعي كه "استاكسنت" از آن بهره ميبرد
آيا نويسندههاي "استاكسنت" و يا يكي از همكاران آنان حفره LNK را در سال 2008 ديده بودند و از آن استفاده كرده بودند به اميد آن كه "مايكروسافت" هيچ گاه پچي را براي بر طرف كردن اين مشكل نسازد؟ آيا آنان اين حفره را در بازار سياه حفرهها (كه "روز صفر"ها در آن به قيمت 50 هزار تا 500 هزار دلار به فروش ميرسند) از نويسندههاي "زيلاب"، كه گفته ميشود دستهاي از هكرها در شرق اروپا هستند، خريده بودند؟ آيا نويسندگان "استاكسنت" اشكالات ديگر را نيز به همين شكل يافته بودند؟
آزمايشهاي محققان "سيمانتك" بر روي ويروسهاي مختلف
دفتر "سيمانتك" در شهر "كالور" يك ساختمان بزرگ و جادار با يك محوطه باز و سقف بلند است. تيم اطلاعات ويروسها پشت سه درب امنيتي قفل در يك اتاق ساده با اتاقكهاي خالي و پنجرههاي بزرگي به سمت يك تپه علفي و پر از درخت است. در اين اتاق دسترسي به اينترنت نيز وجود ندارد؛ تنها شبكه "قرمز" جداگانه "سيمانتك": جايي كه محققان ويروس را رها ميكنند تا ببينند چه اثر تخريبي دارد. هيچ گونه سختافزار قابل حملي اجازه خروج از اين اتاق را ندارد تا مبادا نرمافزار مخربي به شبكه كاري "سيمانتك" و فضاي اينترنت راه پيدا كند.
آزمايشگاه "سيمانتك" يا آزمايشگاه بيولوژيك
زندگي در فضايي سايبري معادل با آزمايشگاه دفاع بيولوژيك، سختيهاي بسياري را به همراه دارد. "چين" و "او مورچو" زماني كه بر روي ابعاد آنلاين "استاكسنت" كار ميكردند مجبور شدند به خارج از دفتر خود بروند تا از لپتاپهاي متصل به اينترنت استفاده كنند.
محققان نميدانستند "استاكسنت" به جز انتشار، چه كار ديگري انجام ميدهد
در هفتههاي اولي كه "استاكسنت" كشف شده بود، اين دو توانسته بودند روشهاي انتشار آن را بيابند؛ اما هنوز نميدانستند چرا اين ويروس ايجاد شده است و يا به جز انتشار چه كار ديگري انجام ميدهد. اين رازها در كدهاي پيچيده آن نهفته بودند. وظيفه مهندسي معكوس اين بخش از كد به عهده "نيكولاس فالير"، مرد 28 ساله فرانسوي، بود.
"فالير" مسئول بخش مهندسي معكوس ويروسها در دفتر "سيمانتك"
"فالير" در زمينه تحليل عميق ويروسها تخصص دارد و مهارت خود را در مهندسي معكوس زماني كه نوجوان بود با حل پازل فايلهاي "كركمي" (Crackme) تقويت كرد؛ اين فايلها بازيهايي متشكل از كد هستند كه برنامهنويسها براي آزمايش توانايي يكديگر در مهندسي معكوس ميسازند.
"فالير" متوجه شد كه "استاكسنت" داراي سه بخش اصلي و 15 قسمت است كه همگي مانند ظرفهاي بزرگ به كوچك درون لايههاي رمزگذاري پيچيده شدهاند. "استاكسنت" بنا به نياز خود بر روي رايانه آلوده اين قسمتها را رمزگشايي و استخراج ميكرد.
كنترل كامل نويسندهها بر "استاكسنت" با بيش از 400 گزينه مختلف تنظيماتي
به علاوه "استاكسنت" يك فايل تنظيمات بسيار گسترده نيز داشت (mdmcpq3.pnf) كه داراي يك منو با بيش از 400 گزينه بود. مهاجمها ميتوانستند با استفاده از آنها همه ابعاد كد را تنظيم كنند؛ مثلاً ويروس چه مدت بايد انتشار پيدا كند و يا چه مدت بايد از هر حفره استفاده شود. اين جا بود كه محققان به تاريخ پايان كار اين ويروس دست يافتند: 24 ژوئن 2012. هر بار كه "استاكسنت " كار خود را روي يك رايانه آغاز ميكرد، ساعت دروني آن رايانه را چك ميکرد. اگر اين زمان پس از تاريخ موجود در فايل تنظيمات ويروس بود، "استاكسنت" از كار ميافتاد. احتمالاً تا اين تاريخ، قرار بود "استاكسنت" به همه اهداف خود رسيده باشد.
رابطه مرموز "استاكسنت" با نرمافزار "استپ 7"
البته مهمترين بخش "استاكسنت" كدهاي مخرب آن بود. اگر اين ويروس تشخيص ميداد كه رايانه آلوده برنامه "استپ 7" را دارد، نرمافزار مخرب يك فايل DLL (طيفي از عملكردها) را در رايانه رمزگشايي و بارگذاري ميكرد. اين فايل DLL جاي يك فايل DLL درست (s7otbxdx.dl) را ميگرفت كه مخزن مشترك عملكردهاي بخشهاي مختلف برنامه "استپ7" بود.
منبع: فارس
اخبار اوليه از "روز صفر"هاي بيشتر در "استاكسنت"
"چين" به "او مورچو" گفت: «من تنها يك چيز را به تو نشان ميدهم؛ اما تا آخر امشب در مورد آن صحبت نميكنيم.» سپس ايميلي را به "او مورچو" نشان داد. محققي در اين ايميل گفته بود كه حفرههاي "روز صفر" بيشتري در "استاكسنت" مخفي هستند.
تأييد وجود "روز صفر"هاي بيشتر در "استاكسنت"
"او مورچو" به "چين" نگاهي انداخت. آنان ماهها بر سر "استاكسنت" غصه خورده و نشانههايي را مبني بر وجود حفرههاي ديگر ديده بودند، اما هيچگاه اين نظريه آنان اثبات نشده بود. ايميل جزئيات روشني ارائه نداده بود. اما همين كه فرد ديگري نيز، در حد خودش، گفته بود كه "روز صفر"هاي بيشتري در "استاكسنت" وجود دارد كافي بود تا روحيه رقابتجويي "او مورچو" را برانگيزد.
پيدا شدن سه "روز صفر" جديد در ساختار "استاكسنت"
روز بعد، "او مورچو" در دفتر خود مشغول كند و كاو كد "استاكسنت" شد و بر بخشي تمركز كرد كه اين ويروس براي گسترش از آن استفاده ميكرد. وي سپس يافتههاي خود را آزمايش و ثبت كرد. وي در اواسط عصر براي هوا خوري بيرون آمد و يادداشتهايش را به "چين" داد؛ وي نيز بعد از ظهر را صرف كار روي كد ويروس كرد. تا آخر هفته اين دو نفر سه "روز صفر" ديگر را پيدا كرده بودند.
استفاده همزمان "استاكسنت" از اشكالهاي ويندوز و نرمافزار "استپ 7"
"استاكسنت" علاوه بر اشكال در LNK ويندوز، از اشكالي در برنامه پرينتر رايانههاي داراي ويندوز استفاده ميكرد تا در رايانههاي داراي پرينتر مشترك پخش شود. "روز صفر"هاي سوم و چهارم از اشكالات در فايل كيبورد و فايل "برنامهريزي وظايف" ويندوز بهره ميبرد تا توانايي مهاجمها را در استفاده از رايانه آلوده بالا ببرد و كنترل كامل دستگاه را به آنان بدهد.
به علاوه، "استاكسنت" از يك رمز عبور ثابت استفاده ميكرد كه "زيمنس" در برنامه "استپ 7" قرار داده بود. ويروس از اين رمز عبور استفاده ميكرد تا كنترل سروري را كه با استفاده از "استپ 7" ميزباني پايگاه داده را به عهده داشت، به دست بگيرد و آن را آلوده كند و به اين ترتيب رايانههاي ديگر متصل به آن سرور را نيز آلوده کند.
"استاكسنت" تنها در شبكههاي محلي گسترش مييافت
مهاجمها مصمم بودند تا نرمافزار مخرب خود را منتشر كنند؛ اما با روشهايي كه به شكل مرموزي محدود بود. بر خلاف اغلب برنامههاي مخرب كه از ايميل و سايتهاي مخرب براي به يكباره آلوده كردن تعداد زياد قربانيان استفاده ميكنند، هيچ كدام از روشهاي "استاكسنت" از اينترنت استفاده نميكرد؛ همگي از شبكههاي محلي (LAN) استفاده ميكردند.
تنها يك راه اصلي براي سرايت "استاكسنت" از ساختماني به ساختمان ديگر وجود داشت: از طريق يك فلش مموري كوچك كه در جيب فرد به طور غير قانوني وارد ساختمان شده باشد.
به نظر ميرسيد مهاجمها قصد داشتهاند سيستمهايي را هدف قرار دهند كه به اينترنت متصل نيستند و از آن جا كه از چهار "روز صفر" استفاده ميكردند؛ اين اهداف بايد از اهميت بالايي برخوردار ميبودند.
روش عجيب "استاكسنت" در حمله به رايانههاي هدف
روش حمله، روشي بسيار بينظم و غير دقيق بود؛ مانند اين بود كه يكي از همسران "اسامه بن لادن" را به ويروسي نادر آلوده كنيد به اميد اين كه او اين ويروس را به رهبر القاعده انتقال دهد. اين روش افراد ديگر غير از هدف را آلوده ميكرد و احتمال افشا شدن توطئه را بالا ميبرد.
اشتباه "استاكسنت" در روش حملهاش
اين دقيقاً همان چيزي بود كه براي "استاكسنت" اتفاق افتاد. محققان "سيمانتك" متوجه شدند كه تمام نمونههاي اين كرم داراي نام دومين و زمان هر سيستمي بود كه آن را آلوده ميكرد. اين به محققان اجازه ميداد تا هر آلودگي را تا رايانه اوليه كه آلودگي از آن آغاز شده بود دنبال كنند.
آنان دريافتند كه مهاجمها حملات خود را بر پنج سازمان در ايران متمركز كردند كه قرار بود درهايي به سوي هدف آنان باشند. اين پنج سازمان بارها در آلودگيهايي جداگانه در ژوئن و ژوئيه 2009 و بار ديگر در مارس، آوريل و مه 2010 مورد هدف قرار گرفتند. اما به دليل "روز صفر"هايي كه در "استاكسنت" از آنها استفاده شده بود، اين ويروس به بيرون از اين سازمانها منتشر شد و پشت سر خود ردي از آلودگي را مانند يك صورت فلكي بر جاي گذاشت.
"سيمانتك" "روز صفر"هاي جديدي را كه در كد ويروس شناسايي كرده بود به اطلاع مايكروسافت و ساير شركتهاي آنتيويروس رساند؛ اين شركتها نيز در آرشيو خود جستجو كردند تا در صورت وجود، سابقه استفاده از اين "روز صفر"ها را بيايند.
"روز صفر"هاي "استاكسنت" قبلاً در بدافزارهای ديگر استفاده شده بودند
اين شركتها به شكلي غير قابل باور دريافتند كه از يك حفره LNK براي حمله به همين اشكال در "اكسپلورر ويندوز" قبلاً در نوامبر سال 2008 نيز استفاده شده است. از اين حفره براي انتشار نوعي از تروجان "زيلاب" (Zlob) استفاده شده بود؛ اين تروجان بر روي رايانه آلوده برنامههاي تبليغاتي (adware) و يا ورود غير مجاز به سيستم (backdoor) را نصب ميكرد. اين نوع از "زيلاب" به طور اتوماتيك در شركتهاي آنتيويروس شناسايي و پردازش شده بود؛ اما "روز صفر" آن اصلاح نشده بود. پس از اين مورد، حفره نام برده بار ديگر در "استاكسنت" مورد استفاده قرار گرفت.
"مايكروسافت" اشكال در برنامه پرينتر ويندوز را برطرف نكرد
اشكال در برنامه پرينتر ويندوز نيز قبلاً آشكار شده بود. مجلهاي امنيتي در لهستان، آوريل 2009 مقالهاي را شامل جزئيات اين اشكال و حتي كد منبع براي استفاده از راه دور از اين حفره منتشر كرد. "مايكروسافت" هيچ گاه از اين اشكال اطلاع پيدا نكرد و در نتيجه پچي (بستهاي) نيز براي رفع آن نساخت.
حتي رمز عبور ثابت پايگاه داده "زيمنس" نيز قبلاً بر ملا شده بود. فردي با نام "سايبر" در آوريل 2008 اين رمز عبور را در يك انجمن آنلاين آلماني و روسي كه به محصولات "زيمنس" اختصاص داشت، نوشته بود.
ادامه پرسشها در مورد منابعي كه "استاكسنت" از آن بهره ميبرد
آيا نويسندههاي "استاكسنت" و يا يكي از همكاران آنان حفره LNK را در سال 2008 ديده بودند و از آن استفاده كرده بودند به اميد آن كه "مايكروسافت" هيچ گاه پچي را براي بر طرف كردن اين مشكل نسازد؟ آيا آنان اين حفره را در بازار سياه حفرهها (كه "روز صفر"ها در آن به قيمت 50 هزار تا 500 هزار دلار به فروش ميرسند) از نويسندههاي "زيلاب"، كه گفته ميشود دستهاي از هكرها در شرق اروپا هستند، خريده بودند؟ آيا نويسندگان "استاكسنت" اشكالات ديگر را نيز به همين شكل يافته بودند؟
آزمايشهاي محققان "سيمانتك" بر روي ويروسهاي مختلف
دفتر "سيمانتك" در شهر "كالور" يك ساختمان بزرگ و جادار با يك محوطه باز و سقف بلند است. تيم اطلاعات ويروسها پشت سه درب امنيتي قفل در يك اتاق ساده با اتاقكهاي خالي و پنجرههاي بزرگي به سمت يك تپه علفي و پر از درخت است. در اين اتاق دسترسي به اينترنت نيز وجود ندارد؛ تنها شبكه "قرمز" جداگانه "سيمانتك": جايي كه محققان ويروس را رها ميكنند تا ببينند چه اثر تخريبي دارد. هيچ گونه سختافزار قابل حملي اجازه خروج از اين اتاق را ندارد تا مبادا نرمافزار مخربي به شبكه كاري "سيمانتك" و فضاي اينترنت راه پيدا كند.
آزمايشگاه "سيمانتك" يا آزمايشگاه بيولوژيك
زندگي در فضايي سايبري معادل با آزمايشگاه دفاع بيولوژيك، سختيهاي بسياري را به همراه دارد. "چين" و "او مورچو" زماني كه بر روي ابعاد آنلاين "استاكسنت" كار ميكردند مجبور شدند به خارج از دفتر خود بروند تا از لپتاپهاي متصل به اينترنت استفاده كنند.
محققان نميدانستند "استاكسنت" به جز انتشار، چه كار ديگري انجام ميدهد
در هفتههاي اولي كه "استاكسنت" كشف شده بود، اين دو توانسته بودند روشهاي انتشار آن را بيابند؛ اما هنوز نميدانستند چرا اين ويروس ايجاد شده است و يا به جز انتشار چه كار ديگري انجام ميدهد. اين رازها در كدهاي پيچيده آن نهفته بودند. وظيفه مهندسي معكوس اين بخش از كد به عهده "نيكولاس فالير"، مرد 28 ساله فرانسوي، بود.
"فالير" مسئول بخش مهندسي معكوس ويروسها در دفتر "سيمانتك"
"فالير" در زمينه تحليل عميق ويروسها تخصص دارد و مهارت خود را در مهندسي معكوس زماني كه نوجوان بود با حل پازل فايلهاي "كركمي" (Crackme) تقويت كرد؛ اين فايلها بازيهايي متشكل از كد هستند كه برنامهنويسها براي آزمايش توانايي يكديگر در مهندسي معكوس ميسازند.
"فالير" متوجه شد كه "استاكسنت" داراي سه بخش اصلي و 15 قسمت است كه همگي مانند ظرفهاي بزرگ به كوچك درون لايههاي رمزگذاري پيچيده شدهاند. "استاكسنت" بنا به نياز خود بر روي رايانه آلوده اين قسمتها را رمزگشايي و استخراج ميكرد.
كنترل كامل نويسندهها بر "استاكسنت" با بيش از 400 گزينه مختلف تنظيماتي
به علاوه "استاكسنت" يك فايل تنظيمات بسيار گسترده نيز داشت (mdmcpq3.pnf) كه داراي يك منو با بيش از 400 گزينه بود. مهاجمها ميتوانستند با استفاده از آنها همه ابعاد كد را تنظيم كنند؛ مثلاً ويروس چه مدت بايد انتشار پيدا كند و يا چه مدت بايد از هر حفره استفاده شود. اين جا بود كه محققان به تاريخ پايان كار اين ويروس دست يافتند: 24 ژوئن 2012. هر بار كه "استاكسنت " كار خود را روي يك رايانه آغاز ميكرد، ساعت دروني آن رايانه را چك ميکرد. اگر اين زمان پس از تاريخ موجود در فايل تنظيمات ويروس بود، "استاكسنت" از كار ميافتاد. احتمالاً تا اين تاريخ، قرار بود "استاكسنت" به همه اهداف خود رسيده باشد.
رابطه مرموز "استاكسنت" با نرمافزار "استپ 7"
البته مهمترين بخش "استاكسنت" كدهاي مخرب آن بود. اگر اين ويروس تشخيص ميداد كه رايانه آلوده برنامه "استپ 7" را دارد، نرمافزار مخرب يك فايل DLL (طيفي از عملكردها) را در رايانه رمزگشايي و بارگذاري ميكرد. اين فايل DLL جاي يك فايل DLL درست (s7otbxdx.dl) را ميگرفت كه مخزن مشترك عملكردهاي بخشهاي مختلف برنامه "استپ7" بود.
منبع: فارس