Иранският CERT център, унгарската лаборатория за информационна сигурност CrySys и руската антивирусна компания Kaspersky Lab неотдавна публикуваха информация относно открития през месец май супервирус Флейм.

Един единствен Флейм може да зарази стотици компютри, тъй като става въпрос за вирус с размер над 20 МВ, под формата на десетки .DLL файлове. Те служат за използване на собстевна база данни, криптиране, като включват и виртуална машина с 3000 реда програмен език Lua.

Незабелязаният дълго време, многопластов и обемен програмен код повдига важни въпроси относно ефективността на антивирусните защити. Според експертите на Касперски, Флейм е пуснат в глобалната мрежа в началото на 2010 година.

Причината за дългия период на неоткриване на вируса е, че изключително сложният програмен код, чието разшифроване ще трае поне една година, е дело на държава, която може да отдели достатъчно средства и време за разработка и тестване на заобикалянето на над 346 (!) антивирусни програми.

До скоро антивирусните програми – като цивилни продукти за защита – се концентрираха основно в търсенето на малки по размер файлове, тъй като повечето вируси, които са ориентирани към присвояванетона финансови средства, са именно с малки размери. Това, в съчетание дори и с по-ниска скоростна интернет връзките, им осигурява достатъчно широко и бързо разпространение. Преди няколко години вирусът Делфи привлече вниманието на специалистите, тъй като със своя размер от 400 kB се смяташе за изключително голям.

Вирусът Флейм не работи за печалба, а по-скоро може да се счита за събрат на крадеца на данни Дуку. Докато последният е заразил по-малко от 50 цели, предварително обявени за пиоритетни, то новият вирус вече е заразил хиляди компютри, основно в Иран (190 случая), Сирия, Судан и Палестина (90 случая). Можеше и повече да са, ако в кода му нямаше включено ограничение за разпространението му.

Предполага се, че това ограничение е създадено, за да защитава функционалността на уникалната му инфраструктура, състояща се от над 80 домейна и десетки С&C централни сървъри. Тази инфраструктура му е необходима, тъй като Флейм вирусите събират огромно количество крадена информация: електронни писма, офис документи, скрийншотове, тайни аудиозаписи от микрофоните на компютрите и много други.

Въпреки че работата на Флейм не е толкова таргетирана, както е тя при Стъкснет или Дуку, собствениците му са изключително внимателни. Според първоначалната информация, в началото се заразяват само няколко компютъра в университети, компании и частни потребители, и след като – чрез SSL/SSH или Bluetooth – извличат цялата ценна информация, вирусът прави пълно изтриване с изпратена команда към browse32 модула.

Това действие засега е противоречиво, тъй като някои от засегнатите потребители вече сигнализираха, че с изчезването на Флейм операционната система Windows също се срива и се получава масивна загуба на данни.

Големите разрушения на вируса затрудняват изследването на същността му, но експертите на Касперски предполагат, че изходната точка е било целенасочено нападение, основано на уязвимостта MS10-033 на Windows Media. Оттам Флейм вече се разпространява самостоятелно: за заразяването на преносими USB устройства за съхранение на данни използва трикът autorun.inf / shell32.dll, познат от Стъкснет, успоредно с това използва и познатият под името „Еуфория“ метод, основан на отварянето на папки чрез фалшив .lnk файл.

Флейм използва и уязвимостта MS10-061 на Windows, за да се разпространява по локални LAN мрежи, а понякога от разстояние генерира неоторизирани задачи. При заразяване на администраторски компютър, вирусът създава и фалшиви потребители, за да може използвайки ги да се самокопира на други компютри. Предполага се, че разпространението на Флейм в мрежата е било подпомогнато и от един, все още неоткрит, код за атака, зададен през ден 0 от неговото съществуване.

Анализът на инцидентите с Флейм се извършва от едва няколко седмици, затова почти всеки ден излизат нови информации. Те непрекъснато променят изградената представа за супервируса, но основните характеристики на програмния код вече са ясни на експертите. Изключително сложните шпионски киберпрограми и съпроводените с тях опустошителни инциденти са достатъчни да се начертае една доста плашеща визия за бъдещето, която послужи и за основа на изявлението на Евгений Касперски на изложението CEBIT, а именно международната общност да създаде интернационално споразумение за ограничаване разработването и използването на кибероръжия.

 

Снимка: sxc.hu