Добавить новость
Добавить компанию
Добавить мероприятие
Новые подробности о Flame раскрыты на форуме PHDays 2012
04.06.2012 09:56
версия для печати
Александр Гостев также рассказал, что Flame был обнаружен случайно. В конце апреля 2012 года власти Ирана заявили, что с компьютеров местной нефтяной компании неизвестными были удалены все данные о клиентах, объемах поставок и другие документы. Чтобы исключить возможности восстановления рабочей информации, поверх нее были несколько раз записаны «мусорные» данные. Специалисты “Лаборатории Касперского” приступили к изучению проблемы по заказу Международного союза электросвязи (ITU). Тогда и был обнаружен Flame, хотя, как позже выяснилось, в его функционале отсутствует возможность удаления файлов. Интересная особенность: размер троянской программы в распакованном виде составляет 20 МБ: это почти в 20 раз больше, чем у Stuxnet. Новинка была установлена примерно на 500 машинах, 200 из которых были размещены в Иране, а также на израильских, палестинских, суданских и сирийских компьютерах. По словам Гостева, разведывательная операция неизвестных создателей Flame велась в течение нескольких лет. Для ее осуществления были зарегистрированы несколько десятков доменов. После обнаружения следов вируса реакция владельцев троянской программы была моментальной: уже через несколько часов узлы, с которых управляли “флеймом”, были недоступны. Описывая возможную тактику атаки, Александр Гостев предположил эксплуатацию уязвимости в Windows Media Player, позволяющей вместо проигрывания видеоролика запускать на атакуемом ПК произвольный код. Подобно промышленному ПО установленный бэкдор разворачивает базу данных Mini SQL (mSQL), в которую заносит все информационные активы пораженного хоста. Скриншоты большинства процессов, включая переписку в мессенджерах, шифруются и отправляются на управляющие троянской программой серверы. Существует также «черный список» процессов, запрещающий изготовление скриншотов, в который в первую очередь входят антивирусы. Функционал Flame включает также сетевой сниффер, запись аудиофрагментов, поиск соседних устройств по Bluetooth и их специальное переименование для быстрого обнаружения, запуск HTTP-сервера и распространение через “расшаренные” папки. Большинство специалистов отмечают разносторонность нового цифрового шпиона. Предыдущие аналоги, Stuxnet и Duqu, изначально были менее функциональны. Напомним, что в этом году наблюдается тенденция к появлению все более сложных червей, созданных для целевого нападения на информационную систему компании или промышленного объекта. Далеко не все эксперты разделяют точку зрения о том, что мир встретился с абсолютно новой угрозой. К примеру, технический директор Positive Technologies считает, что в Flame нет ничего революционного. “Основное отличие Flame от ряда кустарных аналогов — качество проектирования, соответствующее промышленному или корпоративному уровню, — говорит Сергей Гордейчик. — Это современный продукт со специфическим набором функций, заточенный под определенные цели. Если бы существовала Нобелевская премия для создателей вирусов, или приз за самый оригинальный промышленный дизайн троянской программы, то разработчики Flame вряд ли оказались бы в числе лауреатов”. Редактор раздела: Алена Журавлева (info@mskit.ru) Рубрики: ПО Ключевые слова: троян, вирус, зловред
наверх
Для того, чтобы вставить ссылку на материал к себе на сайт надо:
|
|||||
А знаете ли Вы что?
ITSZ.RU: последние новости Петербурга и Северо-Запада13.11.2024 Т2 запустил первый тариф после ребрендингаз> 31.10.2024 «Осенний документооборот – 2024»: взгляд в будущее системы электронного документооборотаз>
|
||||