Złośliwe oprogramowania o nazwie Flame zagraża. Posiada więcej funkcji niszczących niż mogłoby się wydawać, co kwalifikuje go do najbardziej wyrafinowanych zagrożeń w historii.
To czy Flame jest najbardziej skomplikowany jest przedmiotem dyskusji –. nie używa technik ukrywania kodu, ani nie zawiera żadnych nowych funkcjonalności szkodnika. Dlaczego więc jest tak wyjątkowym?
- _ Flame jest inny! Rozmiar pliku jest duży, jego złożoność ogromna, a jego możliwości … cóż widzieliśmy je wcześniej. Jednak bardzo trudno będzie i jest określić liczbę zainfekowanych komputerów teraz i w przyszłości, ponieważ skutecznie usuwa się z zainfekowanej maszyny. _ –. mówi Łukasz Nowatkowski, Dytektor Techniczy w G Data Software.
Po analizie złośliwego oprogramowania potwierdziliśmy niektóre z elementów odkrytych przez CrySyS Lab oraz Kaspersky Labs. W większości informacji prasowych dowiesz się o nowo odkrytym narzędziu. Flame został ochrzczony jako nowe, wyrafinowane zagrożenie w całej historii przemysłu cyberprzestępczego.
Z pewnych względów tak jest:
1. Posiada modułowy zestaw narzędzi aby wykonać swoje złośliwe funkcje:
2. Tworzy plik na dysku w lokalizacji C:\Program files\Common Files\Microsoft Shared\Mssecuritymgr\ssitable, o nazwie „mscrypr.dat” – to zaszyfrowany plik zawierający kod, dane i parametry konfiguracyjne dla potrzeb ataków.
3. Dodatkowy plik o rozmiarze 6 MB – podstawowy plik szkodnika – „mssecmgr.ocx” – trudny do przeprowadzenia operacji debagowania.
4. Posiada funkcjonalność backdoora, trojana i robaka, który został stworzony do wykradania danych – kierowany poleceniami swojego twórcy.
5. Wstrzykuje swój kod o plików systemowych aby pozostać aktywnym na zinfekowanej maszynie (infekcja plików typu explorer.exe, services.exe oraz winlogon.exe).
6. *Potrafi być niewykrywalnym dla niektórych antywirusów zainstalowanych w systemie ofiary.
*7. Aby zapewnić sobie stałą obecność w systemie, modyfikuje rejestr LSA, dodając siebie jako LSA Authentication Package.
8. Sprawdza połączenie z Internetem za pomocą funkcji Windows Update zanim wywoła jego wykonanie.
9. *Jako tylne drzwi (backdoor) zajmuje się kolekcjonowaniem danych, używając komunikacji C&C (http over SSL/SSH): Wysyła informacje szczegółowe o zainfekowanej maszynie, może uzyskać informacje dotyczące o dyskach, może uzyskać informacje o dostępnych dokumentach, może zrobić zrzut ekrany, nagrywać za pomocą mikrofonu zdarzenia audio, może kontrolować Bluetooth w celu nawiązywania kontaktów z urządzeniami w pobliżu, może wylistować pliki w żądanych folderach, może właściwie wszystko (podstawowe funkcjonalności) czego zapragnie jego użytkownik – cybernetyczny złodziej – ponieważ posiada pełne uprawnienia do plików i funkcji na zainfekowanej maszynie.
*10. Posiada własną bazę danych do której zapisuje pozyskane informacje.
11. Posiada również możliwość wykonania zapytań za pomocą skryptów Lua do bazy danych SQLite. To funkcja dość niespotykana w tego typu narzędziach, a umożliwia wykonanie skryptów zagnieżdżonych w szybki sposób.
12. Może również przechwytywać ruch sieciowy!
13. Jednym ze sposobów rozprzestrzeniania się w sieciach lokalnych jest błąd oprogramowania drukarek (CVE-2010-2729), wykonywanie zdalnych zadań i poprzez urządzenia pamięci masowej podłączane do komputerów (pendrive’y, dyski zewnętrzne).
Jednym słowem Flame jest zbyt dużym szkodnikiem, aby opisać jego funkcjonalność w krótkim czasie. Ponieważ głównym celem robaka jest kradzież danych na szeroką skalę, analitycy będą musieli zbadać dokładnie, co, gdzie i kiedy oraz do kogo przesyłane są dane pozyskane przez szkodnika. Na razie nie wiadomo, czy program został stworzony dla szpiegowania rządów, graczy, czy przemysłu w celu przeprowadzenia ukierunkowanego ataku?
Polecamy w wydaniu internetowym chip.pl: "Intel: cztery rdzenie na Androidzie to pomyłka"
