Flame[r]

Il MAHER ha annunciato di aver scoperto un nuovo tipo di malware che avrebbe preso di mira alcuni Paesi dell Medio Oriente.

La scoperta è supportata dalla notizia che i laboratori di Kaspersky sono stati contattati dall’ITU per identificare un malware fino ad allora sconosciuto.

L’analisi del malware è appena all’inizio e richiederà molto tempo dal momento che quando è completamente installato raggiunge la dimensione di 20 Mb. Queste sono le caratteristiche note fin’ora:

  • si propaga attraverso supporti rimovibili (chiavette) oppure via rete sui computer in LAN;
  • eseguire analisi di rete quali sniffing, enumerazione delle risorse e raccolta di password vulnerabili;
  • analisi del disco rigido del computer infatto per cercare file con determinate estensioni o contenuti;
  • analisi dei dispositivi raggiungibili via bluetooth;
  • possibilità di catturare il contenuto dello schermo se sono attivi determinati processi;
  • registrazione dell’audio ambientale tramite il microfono del PC;
  • comunicare via https o ssh i dati raccolti ai C&C localizzati su oltre dieci nomi a dominio diversi;
  • possibilità di scaricare ulteriori moduli dal C&C;
  • capacità di identificare e bypassare moltissimi sistemi antivirus, antispyware o antimalware;
  • capacità di infettare XP, Vista e 7;
  • utilizzo di file ~xxxxxxx.TMP per nascondersi (esattamente come Stuxnet e Duqu).

Uno degli indicatori della sua esistenza scoperto dal MAHER è la presenza di mssecmgr.ocx nella chiave HKLM\CurrentControlSet\Control\Lsa\Authentication Packages.

La versione nota copia in %SystemRoot% i file mssecmgr.ocx, ccalc32.sys, msglu32.ocx, boot32drv.sys, nteps32.ocx, advnetcfg.ocx e soapr32.ocx. Benché le informazioni dichiarate dai programmi dicano che si tratta di componenti di Windows creati da Microsoft, nessun file è firmato con una chiave di Microsoft.

Nei venti mega si trovano molti componenti, tra i quali librerie per la compressione dati (zlib, libbz2 e ppmd), per la gestione dei dati (sqlite3 e un sistema proprietario) e una virtual machine LUA.

È evidente che la realizzazione di un programma del genere non è da tutti, specialmente per il genere di obbiettivi e per il tipo di propagazione (chiavette e LAN piuttosto che Internet). Come Mikko Hypponen rileva, il fatto che Flamer sia riuscito ad evitare l’identificazione da parte dei sistemi antivirus è un duro colpo per tutti i produttori di questo tipo di software.

Alcune risorse online per approfondire il tema:

Aggiornamento del 8/6/2012 – Sembra che le persone che controllano i C&C di Flame[r] abbiano inviato un aggiornamento al malware che ne provoca l’autorimozione e forza la sovrascrittura dei file del malware prima della loro cancellazione, per evitare che altri entrino in possesso delle copie del software.

Aggiornamento del 11/6/2012Secondo i laboratori Kaspersky, Flame e Stuxnet sono due progetti correlati.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

3 pensieri riguardo “Flame[r]”

Spazio per un commento