varvert

Уже несколько антивирусных компаний и независимых центров по сетевой безопасности признали существование нового супервируса невиданной сложности. В классификации «Лаборатории Касперского» и Международного союза электросвязи ITU при ООН он носит название Worm.Win32.Flame (по названию одной из активно используемых внутренних библиотек), в других классификациях он также называется Flamer (иранская группа быстрого реагирования по компьютерным инцидентам МАХЕР), а венгерская лаборатория шифрования и безопасности CrySyS (Laboratory of Cryptography and System Security) при Будапештском технико-экономическом университете дала ему название SkyWiper.

Сейчас уже признано, что все эти названия относятся к одному и тому же «супервирусу», размер которого со всеми дополнительными модулями превышает 20 Мбайт. Каждый отдельный модуль Flame может иметь размер до 6 Мбайт, что необычно для вируса, но в полной мере отражает его огромные возможности — вплоть до записи переговоров рядом с компьютером через подключенный микрофон наушников или веб-камеры, либо захвата информации из телефонных книг в смартфонах, расположенных недалеко от ПК, через Bluetooth-адаптер.

Первые случаи обнаружения вируса Flame в «диком виде» зафиксированы в 2010 году в Иране и Ливане. Кроме того, эксперты журнала Wired обнаружили, что файлы, схожие с компонентами вируса Flame, были найдены в Европе и Объединенных Арабских Эмиратах. Сейчас случаи заражения отмечены во многих странах, хотя большинство пострадавших компьютеров находятся в Иране, на территории Израиля и Палестины, в Сирии, Египте и Судане.

Что касается функций вируса, это крупный модульный комплекс с централизованным управлением по защищенным SSL-каналам. В зависимости от состава установленных модулей он поддерживает похищение засекреченных файлов по заданным признакам, может вести аудиозаписи с отправкой на управляющий сервер, делает снимки экрана и подключается к сотовым телефонам в зоне видимости через Bluetooth для копирования телефонных книг. Также вирус умеет менять свое поведения в зависимости от того, какой антивирус обнаружен на зараженной машине. Например, если обнаружен антивирус McAfee, то расширение файлов с исполняемым кодом вируса меняется с .OCX на .TMP.

Большинство экспертов сходится во мнении, что настолько крупный и мощный вирус мог быть создан только при поддержке какого-то государства. Более того, несмотря на отсутствие явных аналогий с вирусами Stuxnet (был направлен на срыв ядерной программы Ирана) и Duqu (считается вспомогательным инструментом, родственным Stuxnet), есть ряд признаков, указывающих на то, что вирус был создан другой командой разработчиков, но в один период и в одной организации. В частности, эксперты нашли в вирусе Flame использование тех же уязвимостей, которые 5 лет назад применялись для распространения вирусов Stuxnet и Duqu через USB-флэшки (с помощью механизма автозапуска и через файлы ярлыков .LNK) и по локальным сетям (с использованием давно закрытой проблемы с переполнением буфера печати в среде Windows). Хотя все эти проблемы давно исправлены, специалисты до сих пор гадают, как именно вирус выполняет начальное заражение компьютеров – есть доказательства, что он может присутствовать в операционной системе Windows 7 со всеми актуальными обновлениями и антивирусами. При этом механизм автоматического распространения и заражения в вирусе отключен, насколько известно.

Почему вирус Flame пять лет ускользал от широкого внимания? Возможно, из-за того, что в обычном состоянии он почти не ведет разрушительной деятельности, если не считать накопление и отправку собираемой информации в самых крупных объемах. Чаще всего этот вирус встречается на компьютерах организаций, имеющих отношение к нефтедобывающей и нефтеперерабатывающей отрасли, энергетике и банковским структурам Ближнего Востока и Африки.

В настоящий момент уже несколько антивирусных компаний, включая частные Symantec, Sophos и «Лабораторию Касперского», а также управление компьютерной безопасности Ирана, выпустили соответствующие средства для обнаружения и уничтожения основных компонентов Flame. В то же время, с учетом неизвестной природы распространения вируса, остается непонятным, как именно вирус попал на зараженные машины, почему не проявлял значительной активности до сих пор, и какие последствия может вызвать его «боевое применение». Термин «боевое применение» в данном случае не случаен — по мнению специалистов из разных стран, вирус Flame имеет прямое отношение к военным разработкам для ведения военных действий в киберпространстве.

источник

Пeneral Volf

varvert, вчера на яндекс IT читал, интересно, особенно то мнение ЛК, что в его создании замешано правительство..

виктор_лютый

mail.ru это не источник а г-но ресурс, поездка по ушам детектед.

Пeneral Volf

виктор_лютый, http://www.kaspersky.ru/news?id=207733770

виктор_лютый

ничего нового...

Пeneral Volf

виктор_лютый, но все же говно мэйл
а ничего нового нету, они предлагают ссылаться на их блог\форум или что то там чтобы сделить за дальнейшими новостями об этом....

виктор_лютый

не нового в смыле езды по ушам, а по поводу
мегосуперстрашныхябоюсьнассукипеткомвштаныдваразаи-обосрусьещетриопупетькакштрашнеахтунгпростопипец
вирусов. что имеем? г-но мейл утка, каспер рекклама. кто чем дальше напугает?

Пeneral Volf

виктор_лютый,
в шифровальщики бы тебе иди!!!
Народ извивается как только может, что ж поделать.....

Alexander37Rus

Так написано, как будто какую то бактерию или палочку нашли)) Думаю вирус создан не для простых смертных пользователей, типо нас)) Так, что мне лично по барабану)

Колян1

Вот самый верный комментарий!
Я того же мнения!

cinyflo

Людям совсем делать нефиг, - одни пишут вирусы, другие их активно боятся...

stalker08

ой не для нас он создан ..когда он ёще то существует. Кому надо: "записи" "информации из телефонных книг в смартфонах"..херьня всё !!

z1mbabve

Дядя Билл имеет глаз Саурона в каждом компе, ок?

виктор_лютый

извращенесь ваш дядя бил.

miraclePC

Я думаю, что для наших Спецов раздела Б. нет невыполнимых задач!

З.Ы. Усем респект