Robak o nazwie Flame
od pięciu lat buszował nierozpoznany(?!) po komputerach w Libanie, Iranie, Izraelu, Sudanie, Syrii, Arabii Saudyjskiej i Egipcie. Autor? Niestety nic o nim nie wiadomo. A więc czego się dowiedziano o Flame po pięciu latach od momentu wypuszczenia go?
Zawiera 20 razy więcej kodu, niż Stuxnet. Oczywiście, zadaniem tego robaka jest kradzież informacji, do czego został niezwykle uniwersalnie stworzony.
Flame potrafi aktywować mikrofony w komputerach i nagrywać toczące się w pomieszczeniach rozmowy. Dodatkowo wykonuje regularne zrzuty ekranu i szuka telefonów w pobliżu przy pomocy protokołu Bluetooth.
Flame zainfekował już ok. 5 tys. komputerów głównie należących do firm komercyjnych i instytucji badawczych. Nie wykrada on żadnych danych związanych z finansami, a więc celem autorów nie jest raczejniż okradanie kont bankowych…
Wirusa opisał
[Aby zobaczyć linki, zarejestruj się tutaj]
, producent antywirusa, który, jak reszta programów, był nieczuły na Flame przez 5 lat...
Robi się coraz ciekawiej.
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Właśnie napisali o nim na DP
Kaspersky również pisze o Flame:
[Aby zobaczyć linki, zarejestruj się tutaj]
Tak samo jak i ZTS:
[Aby zobaczyć linki, zarejestruj się tutaj]
Ciężka będzie przyszłość, skoro antywirusy mają taką skuteczność. Jak widać bardziej skomplikowane aplikacje są w stanie ukrywać się kilka lat zanim zostaną wykryte. Tym samym zaczynam powątpiewać w ich skuteczność.
promototo napisał(a):Ciężka będzie przyszłość, skoro antywirusy mają taką skuteczność. Jak widać bardziej skomplikowane aplikacje są w stanie ukrywać się kilka lat zanim zostaną wykryte. Tym samym zaczynam powątpiewać w ich skuteczność.
Podobno "Flame" miał bazę ponad 300 sygnatur antywirusowych i dopisywał się do whitelist. Dodatkowo ile wykryto do tej pory infekcji? Coś chyba między 1 a 5 tysięcy. To znacząco pomaga unikać wykrycia. Przy większej skali było by to niemożliwe.
Antywirusy staja się coraz lepsze jak i wirusy są coraz lepsze.. Proste
Nie wiem czemu, ale od razu miałem skojarzenia z niedawno publikowanymi również przez Kasperskiego informacjami na temat nowej odsłony SpyEye...jakoś dziwnie mi się to razem wiąże...
[Aby zobaczyć linki, zarejestruj się tutaj]
A odnośnie Flame...kolejny interesujący artykuł od KL
[Aby zobaczyć linki, zarejestruj się tutaj]
Ciekawe informaje od Bitdefendera
[Aby zobaczyć linki, zarejestruj się tutaj]
Cytat:The team working on it have uncovered that several components use an internal list called NetworkTypeIdentifier. This list references high-profile web sites such as *.overture.* , *.gmail.*, *.hotmail.* , *.bbc.co.* , *.bbc.co.* that are probed in order to get information about the bandwidth capabilities of the connection. However, the list also references three Iranian websites (*.baztab.* , *.maktoob.* , *.gawab.*) , which confirms once again that Iran was one of the designated targets.
Taka ciekawostka: moduł nteps32.ocx (
[Aby zobaczyć linki, zarejestruj się tutaj]
) ma identyczną funkcjonalność jak wykryty w 2010 trojan Tosy (
[Aby zobaczyć linki, zarejestruj się tutaj]
)
A sample złośliwego kodu tutaj:
[Aby zobaczyć linki, zarejestruj się tutaj]
Ciekawostką jest to, że plik main module: md5: bdc9e04388bda8527b398a8c34667e18 mssecmgr.ocx wylądował na VT prawie 2 dni temu dopiero: 2012-05-29 00:40:44 UTC ( 1 dzień, 13 godzin ago ) :
[Aby zobaczyć linki, zarejestruj się tutaj]
(ta duża wersja 5.9MB)
Jeszcze większe zaskoczenie jest takie, że przedstawiony plik na VT tylko PANDA nie wykrywa z renomonowanych firm.
EDIT:
Prevx (teraz Webroot) twierdzi, że w 2007 roku już mieli w swojej chmurze to zagrożenie.
Od 5 lat i nic o tym nie pisneli?... Od kiedy tak twierdzi?
Na wildersach jest wzmianka o tym. Twierdzili, że nie jest to groźne zagrożenie.
Dlatego nic nie napisali wcześniej o tym.
,,Privately held Webroot said its automatic virus-scanning engines detected Flame in December 2007, but that it did not pay much attention because the code was not particularly menacing.
That is partly because it was easy to discover and remove, said Webroot Vice President Joe Jaroch. "There are many more dangerous threats out there today," he said''''.
Techniczny raport by CrySyS Lab:
[Aby zobaczyć linki, zarejestruj się tutaj]
Wszystkie hasze Flamera:
[Aby zobaczyć linki, zarejestruj się tutaj]
Removal tools Flamer A/B by BitDefender:
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Podobno infrastruktura z której korzystano do kontrolowania Flame przechodziła przez różne kraje i działała też w Polsce. Poza Polską: Turcja, Niemcy, Hong Kong, Malezja, Łotwa, Wielka Brytania i Szwajcaria. KEK. Wyczytałem to na portalu chip.pl
Avira w powiadomieniach też ostrzega o Flame:
[Aby zobaczyć linki, zarejestruj się tutaj]
Flame próbuje popełnić samobójstwo:
[Aby zobaczyć linki, zarejestruj się tutaj]
Ciekawy artykuł pod intrygującym tytułem "Why Antivirus Companies Like Mine Failed to Catch Flame and Stuxnet"
[Aby zobaczyć linki, zarejestruj się tutaj]
Robi się jeszcze ciekawiej, moduł z Flame był także w Stuxnet w 2009 roku:
[Aby zobaczyć linki, zarejestruj się tutaj]
Stuxnet, Duqu, Flame - pisała ta sama osoba, osoby, organizacja, whatever