«Лаборатория Касперского» обнародовала детали расследования атаки вирусом Flame

Лаборатория Касперского продолжает расследование массовой атаки компьютеров Иранских предприятий, в ходе которого был обнаружен неизвестный ранее червь Worm.Win32.Flame.

По словам Александра Гостева червь Flame является «пожалуй самым изощренным кибероружием, созданным для кибершпионажа».

Напомним, что Flame был обнаружен в ходе проведения расследования ЛК по запросу Международного союза электросвязи (МСЭ). МСЭ обратился за помощью в обнаружении неизвестного вируса, удаляющего важную информацию с компьютеров различных предприятий в странах Ближнего Востока. К МСЭ, в свою очередь, обратились власти Ирана, сообщив о том, что в конце прошлого месяца с базы данных нефтяной компании исчезла важная информация.

Найденный сотрудниками ЛК образец вредоносной программы получил название Worm.Win32.Flame. «Flame представляет собой весьма хитрый набор инструментов для проведения атак. Это троянская программа-бэкдор, имеющая также черты, свойственные червям и позволяющие ей распространяться по локальной сети и через съемные носители при получении соответствующего приказа от ее хозяина», - говорится в сообщении ЛК.

При попадании в компьютер жертвы Flame выполняет ряд сложных операций, в том числе анализирует сетевой трафик, создает снимки экрана, записывает разговоры, а также перехватывает клавиатурные нажатия жертвы.

Как сообщил Гостев, Flame является огромным пакетом, состоящим из многих программных модулей, в том числе функционалов для сжатия кода, а также библиотек sqlite3, при помощи которых программа может манипулировать базами данных. При полном развертывании размер вредоноса составил почти 20 МБ.

Эксперты отмечают, что Flame очень сильно отличается от других троянских программ-бэкдоров. Во-первых, Flame использует нехарактерный для троянов язык программирования Lua, также в нем предусмотрен механизм записи разговоров жертвы со встроенного микрофона. Кроме того, вредонос может использовать Bluetooth для передачи данных с инфицированного компьютера. Тем не менее, по их мнению, Flame является не единственным вирусом, атаковавшим несколько стран Ближнего Востока, среди которых наибольшему количеству атак подверглись Иран, Израиль, Сирия и Судан. В ходе расследования эксперты обнаружили, что Flame не может самостоятельно удалять данные с компьютера жертвы. А это доказывает, что помимо Flame существует еще один вирус.

Напомним, вчера на форуме Positive Hack Days, организованном компанией Positive Technologies, выступил Александр Гостев с докладом «Тайна Duqu», в котором подробно рассказал об обнаружении червя Worm.Win32.Flame.