Самый сложный вредонос

Логотип компании
03.06.2012Автор
Самый сложный вредонос
В начале прошлой недели стали появляться сообщения о новом вирусе Flame («пламя»), который преимущественно поражает компьютеры пользователей и организаций на Ближнем Востоке. Оказалось, что пресловутый вирус является, скорее, вредоносным ПО с функциями spyware

В начале прошлой недели стали появляться сообщения о новом вирусе Flame («пламя»), который преимущественно поражает компьютеры пользователей и организаций на Ближнем Востоке. Оказалось, что пресловутый вирус является, скорее, вредоносным ПО с функциями spyware. Одними из первых о новом вредоносе сообщили «Лаборатория Касперского» и CrySyS Lab (лаборатория криптографии и систем безопасности) Будапештского университета технологий и экономики. В этот же день (28 мая) Иранский национальный центр реагирования на чрезвычайные ситуации в области ИТ (CERT) объявил о том, что уже разработал программу распознавания и удаления вредоносного Flame с компьютера и в данный момент распространяет ее среди наиболее уязвимых организаций. Более того, детектор вируса был создан еще в начале мая, утверждают иранцы. Почему Иран не делился этой информацией с остальным миром остается только догадываться.

Вирус Flame, также известный как Flamer («огнемет»), является модульной вредоносной программой, поражающей компьютеры под управлением семейства ОС Microsoft Windows. Программа используется для кибер-шпионажа в странах Ближнего Востока. Вредонос способен размножаться в ЛВС организаций и с помощью устройств памяти USB. «Пламя» может записывать аудио (в том числе разговоры в Skype), делать скриншоты, фиксировать клавиатурную активность и отслеживать сетевой трафик. То есть являет собой полный набор средств слежки. Помимо прочего, вирус способен превращать компьютер в Bluetooth-маячок, который начинает заниматься сбором контактной информации с окружающих Bluetooth-устройств. Полученные таким образом данные отправляются на один из множества серверов по всему миру. Одновременно с серверов запрашиваются команды для последующей деятельности программы-шпиона. В случае необходимости кураторы проекта имеют возможность послать команду активации процесса самоуничтожения spyware-комплекса. По крайней мере, такой участок кода уже обнаружен в модулях клиента. Стоит отметить, что российские и венгерские специалисты сходятся во мнении, называя Flame одной из самых сложных из когда-либо обнаруженных вредоносных программ. В частности, программисты «Лаборатории Касперского» считают, что Flame в 20 раз сложнее нашумевшего в свое время Stuxnet. Причем, если по мнению «Лаборатории Касперского» вирус существует, по меньшей мере, с февраля 2010 года, то их коллеги из Венгрии убеждены, что его аналоги бродят по Сети с декабря 2007 года. Впрочем, это не имеет большого значения.

Среди первых пораженных в апреле 2012 года оказались компьютеры иранского Министерства нефти, на которое тогда была совершена серьезная кибер-атака. В целях безопасности оборудование пришлось отключить от Сети. Однако от первых заражений эти меры не спасли. В конце мая поступили сообщения о заражениях из Израиля, Ливии, Саудовской Аравии, Сирии, Судана и Египта. По данным «Лаборатории Касперского» на май 2012 года, заражено приблизительно 1000 машин. Цифра не самая значительная, но дело осложняется тем, что большую часть пораженных ПК составляют компьютеры государственных, образовательных и важных коммерческих структур, внутренняя информация которых имеет вполне реальную ценность. В качестве виновника торжества арабские страны безапелляционно определили Израиль, который давно не скрывает своей озабоченности возможной разработкой ядерного оружия в Иране. Впрочем, каких-либо других «доказательств» чьей-либо вины пока ни у кого нет.

Читайте также
Почему одни компании интуитивно двигаются на ощупь, а другие видят путь на шаг вперёд? IT World разбирался, как банк построил работу с данными так, чтобы каждый шаг был результативным, а также почему был выбран подход Data-Driven.

Источник: IT World