Специалисты компании Symantec заявляют, о том, что на зараженные компьютеры вирусом Flame поступила команда на самоуничтожение от создателей изощренной киберошпионской программы.

Flame стала первой вредоносной программой, использующей особую технику криптографии, которая давала возможность вирусу подделывать цифровые сертификаты и активно распространяться, заявляют специалисты по шифрованию данных.

Впервые методика таких атак была продемонстрирована в 2008 году и создатели Flame придумали свой вариант. «Создание нового варианта вируса потребовало знаний криптографического анализа мирового уровня», — сделал вывод эксперт по криптографии Марк Стивенс из амстердамской компании Centrum Wiskunde & Informatica.

Мнение специалистов подтверждают высказанные предположения о том, что за созданием Flame стоит целое государство, а не группа киберпреступников. Однако вопрос о том, какая страна ответственна за создание вируса, пока остается открытым.

Компания Symantec, следившая за поведением компьютерного вируса Flame при помощи компьютеров-наживок, выявила команду на самоуничтожение. Исследователи объявили, что создатели программы отправили ей команду на самоуничтожение, которая удаляет Flame из зараженных компьютеров, заменяя вирус на зараженных машинах бессмысленной информацией.

Зараженные компьютеры регулярно подключаются к командным серверам для получения дополнительных команд. В примере, который наблюдали сотрудники Symantec, командный сервер передавал вирусу файл под названием browse32.ocx. Этот файл можно считать полноценным модулем с единственной задачей – очистка пораженной системы и удаление всех следов деятельности Flame.

Модуль browse32.ocx определяет наличие на ПК всех файлов Flame, удаляет их, а затем заполняет освобожденное дисковое пространство «мусорными» данными, устраняя возможность восстановления файлов.

Сам вирус был обнаружен в конце мая. Новые данные о Flame, полученные Symantec, показывают изощренный характер этой программы и дают некоторое представление о ее возможных создателях.

Известная российская компания в области интернет-безопасности «Лаборатория Касперского» в начале июня объявила об обнаружении многочисленных случаев применения этого вируса, созданного с целью кражи технической и иной информации.

Сама программа содержит около 20 мегабайт исходного кода в большом количестве специализированных модулей. При первоначальной инсталляции на компьютер устанавливается только шесть компонентов размером 6 МБ, в том числе базовый модуль mssecmgr.ocx.

Диаграмма взаимосвязей в исходном коде основного модуля Flame

Анализ McAfee даёт понять, с проблемой какой сложности столкнулись сейчас вирусные аналитики. После декомпиляции базовый модуль содержит около 650 000 строк обфусцированного кода на языке программирования C, при этом имеются индикаторы, что декомпиляция не даёт точного результата, и на самом деле размер программы составляет около 750 000 строк кода. И это всего лишь один из многочисленных модулей. Его сложность показана на диаграмме взаимосвязей внутри программы, которая опубликована вверху (кликабельна).

Модуль содержит 4400+ вызовов к строкам деобфускатора. Высокий уровень обфускации используется, чтобы усложнить анализ программы и снизить риск повторного использования кода третьими лицами.

Внутри основного модуля находится код всех необходимых библиотек: SSH, ZLib, веб-сервер и т.д. Обнаружено более двух десятков криптографических функций Blowfish, MD5/MD4 и др.

Flame оснащён продвинутыми функциями для шпионажа: парсинг файловой системы, парсинг ZIP-файлов, разбор многочисленных форматов файлов, в том числе PDF, Word, Excel и др., продвинутый способ для скрытной отправки собранной информации на удалённый сервер: это делается путём запуска дополнительных сущностей Internet Explorer, в которые внедряется код, так что запуск IE не вызывает подозрений у антивируса и файрвола.

Ещё одна интересная деталь — подробное исследование мобильных устройств, которым занимается модуль Beetlejuice. Он ищет Bluetooth-устройства и скачивает оттуда список контактов, в том числе список контактов в социальных сетях. То же самое делается на локальном компьютере.

Вот список некоторых модулей и функций Flame:

AUTORUN_INFECTOR – занимается инфицированием через AutoRun
BOOST – создаёт список «интересных» файлов после анализа файловой системы, по заданной маске
WEASEL – создаёт список директорий на компьютере
JIMMY – поддержка парсинга файлов
TELEMETRY – связь с управляющим сервером
SUICIDE – процедура самоуничтожения
EUPHORIA – различные эксплойты
BEETLEJUICE – интерфейс и управление устройствами Bluetooth
BUNNY – пока непонятно
DBQUERY – пока непонятно
GADGET – пока непонятно
PLATYPUS – пока непонятно
CLAN – модуль Lua, возможно, связанный с эксплойтами удаленных целей
CRUISE – разбор доменов NT
DRILLER – пока непонятно
AUDITION – прекращение процессов, работа с антивирусами
SECURITY – идентификация программ, которые могут помешать работе Flame (антивирусы, файрволы)
GATOR – коммуникации с управляющим сервером
LIMBO – создаёт бэкдор-аккаунты на других машинах в домене с именем пользователя HelpAssistant
FROG – модуль заражения других компьютеров с использованием аккаунта HelpAssistant
MICROBE – запись аудио
SNACK – прослушивает сетевые интерфейсы, сохраняет пакеты NBNS в лог
MUNCH – HTTP-сервер, реагирующий на запросы “/view.php” и “/wpad.dat”
VIPER – модуль для скриншотов
HEADACHE – пока непонятно.

В Symantec сообщили, что команда о самоуничтожении направлена на то, чтобы полностью удалить Flame с компьютера. Она находит в компьютере все файлы, ассоциирующиеся с Flame, удаляет их и забивает освободившиеся участки памяти компьютера бессмысленной информацией, чтобы сбить с толку компьютерных специалистов.

Проанализировав команду по самоликвидации вируса, специалисты Symantec пришли к выводу, что она была написана в начале мая.

Анализ элементов вируса дает представление о том, насколько грамотно он был написан — Flame стала первой вредоносной программой, использующей особую технику криптографии, которая давала возможность вирусу подделывать цифровые сертификаты и активно распространяться.

Использованы материалы

allwebb.info

xakep.ru

Tags: , ,

Эта статья была опубликована: Понедельник, июня 11, 2012 в 9:00 в категории Технологии. Вы можете читать любые ответы через RSS 2.0 feed. You can leave a response, or trackback from your own site.

Ваш комментарий

Имя (*)
email (*)
вебсайт
Комментарий
Перед отправкой формы:
Human test by Not Captcha