Flame (вірус)

Flame — комп'ютерний хробак, що вражає комп'ютери під управлінням операційної системи Microsoft Windows версій XP , 7 , Vista. Також Флеймер (Flamer), сКайВАйпер (sKyWIper)^[a] або Скайвайпер (Skywiper)^[2].

Його виявив Роель Шувенберг, старший науковий співробітник з комп'ютерної безпеки Лабораторії Касперського під час дослідження вірусу Wiper, який атакував комп'ютери в Ірані, про що було оголошено 28 травня 2012 року. Найбільш постраждалими країнами є Іран, Ізраїль, Судан, Сирія, Ліван, Саудівська Аравія і Єгипет.^[1] Діє вірус приблизно з березня 2010 року. Програма має об'єм 20 МБ і значно перевершує в цьому відношенні вірус Stuxnet . Flame використовує бібліотеки zlib, libbz2, ppmd для стиснення, вбудовану СУБД, віртуальну машину Lua.

Деякі частини вірусу мали цифровий підпис, отриману за допомогою сертифіката з ієрархії Microsoft. Подібний сертифікат міг бути отриманий будь-яким власником сервера Terminal Licensing; однак Flame додатково використовувалася як нова атака для пошуку колізій у хеші MD5. Завдяки проведеній атаці сертифікат можна було використовувати для підписування оновлень Windows Update для ОС Windows XP, 7, Vista. Компоненти вірусу вперше посилалися на сервер Virustotal влітку 2009 року.

У 2012 році експерти лабораторії Касперського виявили, що розробники Flame співпрацювали з розробниками іншого складного хробака Stuxnet. У червні 2012 року газета Washington Post з посиланням на неназваних західних чиновників повідомила про те, що шпигунський вірус Flame розроблявся спільно фахівцями США та Ізраїлю для отримання інформації, яка могла б бути корисна в зриві іранської ядерної програми. 17 вересня 2012 лабораторія Касперського в своєму офіційному блозі опублікувала дослідження, згідно з яким вірус Flame почав розроблятися і впроваджуватися в 2006 році, записи командного сервера з управління заражених вірусом комп'ютерів, виявлені вірусними аналітиками, датуються 3 грудня 2006.

Розмноження та цілі вірусу ред.

Список кодових імен для модулів вірусу у вихідному коді Flame і їх *можливої* мети
Ім'я	Опис
Flame	Модулі, які виконують функції атаки
Boost	Модулі збору інформаціі
Jimmy	Атакуючий модуль
Munch	Модуль установки та поширення вірусу
Snack	Модуль місцевого поширення
Spotter	Модуль сканування
Transport	Модуль дублювання
Euphoria	Модуль збору даних
Headache	Модуль параметрів атаки

Як раніше відомі віруси Stuxnet і Duqu, Flame використовується як ціленаправлений вірус і може ухилитися від поточної версії програмного забезпечення безпеки через руткит — функціонал. Після того, як система ушкоджена, Flame може поширитися на інші системи по локальній мережі або через USB флешку. Вірус здатний збирати файли даних, віддалено змінювати параметри комп'ютера, записувати звук, скріншоти і підключатися до чатів. Програма також записує Skype розмови і може перетворити заражені комп'ютери в маяки Bluetooth, які намагаються завантажити контактну інформацію з довколишніх Bluetooth включений пристроїв. Ці дані відправляються на один з декількох пунктів командування і управління серверами, які розкидані по всьому світу. Потім програма очікує подальших вказівок від цих серверів. На відміну від Stuxnet, який був розроблений, щоб саботувати виробничий процес , Flame був написаний виключно для шпигунства. Цей вірус не націлений на певну галузь, а скоріше є «повний інструментарієм, призначеним для загальних цілей кібер-шпигунства».

Провівши дослідження лабораторія Касперського показала, що більшість цілей були в межах Ірану (як згадувалося раніше), де програма виконувала збір тактично-воєнних даних. Мережа з 80 серверів в Азії, Європі та Північній Америці була використана для дистанційного доступу.

Див. також ред.

Нотатки ред.

↑ The name "sKyWIper" is derived from the letters "KWI" which are used as a partial filename by the malware^[1]

Примітки ред.

↑ ^а ^б sKyWIper: A Complex Malware for Targeted Attacks (PDF). Budapest University of Technology and Economics. 28 May 2012. Архів оригіналу (PDF) за 28 May 2012. Процитовано 29 May 2012.
↑ Flamer: Highly Sophisticated and Discreet Threat Targets the Middle East. Symantec. Архів оригіналу за 31 May 2012. Процитовано 30 May 2012.

Джерела ред.

Хабрахабр: «Flame: что известно на данный момент» [Архівовано 11 грудня 2013 у Wayback Machine.]

Це незавершена стаття про інформаційні технології.
Ви можете допомогти проєкту, виправивши або дописавши її.

[2] The name "sKyWIper" is derived from the letters "KWI" which are used as a partial filename by the malware^[1]

[cry-1] а ^б sKyWIper: A Complex Malware for Targeted Attacks (PDF). Budapest University of Technology and Economics. 28 May 2012. Архів оригіналу (PDF) за 28 May 2012. Процитовано 29 May 2012.

[3] Flamer: Highly Sophisticated and Discreet Threat Targets the Middle East. Symantec. Архів оригіналу за 31 May 2012. Процитовано 30 May 2012.

[a]

[2]

[1]