Il MAHER ha annunciato di aver scoperto un nuovo tipo di malware che avrebbe preso di mira alcuni Paesi dell Medio Oriente.
La scoperta è supportata dalla notizia che i laboratori di Kaspersky sono stati contattati dall’ITU per identificare un malware fino ad allora sconosciuto.
L’analisi del malware è appena all’inizio e richiederà molto tempo dal momento che quando è completamente installato raggiunge la dimensione di 20 Mb. Queste sono le caratteristiche note fin’ora:
- si propaga attraverso supporti rimovibili (chiavette) oppure via rete sui computer in LAN;
- eseguire analisi di rete quali sniffing, enumerazione delle risorse e raccolta di password vulnerabili;
- analisi del disco rigido del computer infatto per cercare file con determinate estensioni o contenuti;
- analisi dei dispositivi raggiungibili via bluetooth;
- possibilità di catturare il contenuto dello schermo se sono attivi determinati processi;
- registrazione dell’audio ambientale tramite il microfono del PC;
- comunicare via https o ssh i dati raccolti ai C&C localizzati su oltre dieci nomi a dominio diversi;
- possibilità di scaricare ulteriori moduli dal C&C;
- capacità di identificare e bypassare moltissimi sistemi antivirus, antispyware o antimalware;
- capacità di infettare XP, Vista e 7;
- utilizzo di file ~xxxxxxx.TMP per nascondersi (esattamente come Stuxnet e Duqu).
Uno degli indicatori della sua esistenza scoperto dal MAHER è la presenza di mssecmgr.ocx
nella chiave HKLM\CurrentControlSet\Control\Lsa\Authentication Packages.
La versione nota copia in %SystemRoot%
i file mssecmgr.ocx
, ccalc32.sys
, msglu32.ocx
, boot32drv.sys
, nteps32.ocx
, advnetcfg.ocx
e soapr32.ocx
. Benché le informazioni dichiarate dai programmi dicano che si tratta di componenti di Windows creati da Microsoft, nessun file è firmato con una chiave di Microsoft.
Nei venti mega si trovano molti componenti, tra i quali librerie per la compressione dati (zlib, libbz2 e ppmd), per la gestione dei dati (sqlite3 e un sistema proprietario) e una virtual machine LUA.
È evidente che la realizzazione di un programma del genere non è da tutti, specialmente per il genere di obbiettivi e per il tipo di propagazione (chiavette e LAN piuttosto che Internet). Come Mikko Hypponen rileva, il fatto che Flamer sia riuscito ad evitare l’identificazione da parte dei sistemi antivirus è un duro colpo per tutti i produttori di questo tipo di software.
Alcune risorse online per approfondire il tema:
- Articolo sul sito del MAHER
- The Flame: Questions and Answers (Kaspersky Lab)
- Case Flame (F-Secure)
- Skywiper – Fanning the “flames” of cyber warfare (McAfee)
- sKyWIper: A complex malware for targeted attacks (CrySyS Lab)
Aggiornamento del 8/6/2012 – Sembra che le persone che controllano i C&C di Flame[r] abbiano inviato un aggiornamento al malware che ne provoca l’autorimozione e forza la sovrascrittura dei file del malware prima della loro cancellazione, per evitare che altri entrino in possesso delle copie del software.
Aggiornamento del 11/6/2012 – Secondo i laboratori Kaspersky, Flame e Stuxnet sono due progetti correlati.
3 risposte a “Flame[r]”
[…] e richiederà molto tempo dal momento che quando è… Continua a leggere la notizia: Flamer Fonte: […]
[…] Flamer […]
[…] è stato realizzato sulla stessa piattaforma di Flame e condivide con Stuxnet (edizione 2010) il modulo di propagazione via […]