Flame – kolejny super inteligentny wirus komputerowy

info/flame-wirus.jpgKilka miesięcy temu głośno było o wirusie Stuxnet, który był tak sprytny, że infekował i niszczył wirówki do wzbogacania uranu w Iranie. Tym razem świat odkrył nowe zagrożenie nazwane Flame, które również służy celom cyberwojny i szpiegowaniu. Wirus nie jest mały, waży ze wszystkimi modułami prawie 20 MB po instalacji, a jego analiza nie jest łatwa – Kasperky Lab określa to jako bardzo mocnego szkodnika. A co on takiego potrafi?

Ustalono, że służy inwigilacji na masową skalę – potrafi zapisywać np. rozmowy poprzez wbudowany w sprzęt – mikrofon (a prawie każdy ma go w laptopie ;) Nie są mu też obce metody wykradania danych i dostępów. Tu szczególny nacisk położył na łączność Bluetooth, z pomocą której zbiera dane o urządzeniach znajdujących się w pobliżu komputera.

info/flame-wirus-1.jpg

Wirus przenosi się poprzez USB – czyli pendrajwami, aparatami cyfrowymi itd. Gdy dostanie się do komputera, modyfikuje odpowiednio system i rozsyła się dalej siecią lokalną. Jak pokazały testy – nie oparły mu się nawet zaktualizowane systemu Windows 7.

Gdy jest w środku… zaczyna szpiegować, zbierać dane i przesyłać je w zakodowane miejsca.

Jak można sprawdzić, czy w naszym komputerze jest Flame? Otóż jak podaje Kaspersky Lab wystarczy:

1. Przeprowadź wyszukiwanie pliku ~DEB93D.tmp. Jego obecność w systemie oznacza, że system jest lub był zainfekowany przez Flame’a.

2. Sprawdź klucz rejestru HKLM_SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages. Jeżeli znajdziesz tam obiekt mssecmgr.ocx lub authpack.ocx – system jest zainfekowany przez Flame’a.

3. Sprawdź obecność poniższych katalogów. Jeżeli je znajdziesz – system jest zainfekowany przez Flame’a.

C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr
C:\Program Files\Common Files\Microsoft Shared\MSAudio
C:\Program Files\Common Files\Microsoft Shared\MSAuthCtrl
C:\Program Files\Common Files\Microsoft Shared\MSAPackages
C:\Program Files\Common Files\Microsoft Shared\MSSndMix

4. Przeprowadź poszukiwania pozostałych nazw podanych powyżej. Wszystkie z nich są dość unikatowe i ich obecność jest równoznaczna z dużym prawdopodobieństwem infekcji Flamem.

Źródło: Kaspersky Lab / www.viruslist.pl

Komentarze