21:11
8/6/2012

Symantec zaobserwował na swoich honeypotach polecenia z serwerów C&C Flame’a, nakazujące robakowi odinstalowanie się z zarażonych hostów.

Flame próbuje się odinstalować

Na zarażone komputery wysyłany jest plik browse32.ocx, który w praktyce jest kolejnym modułem trojana — przypomnijmy, że Flame potrafi przechwycić Windows Update i za jego pomocą instaluje na zainfekowanym systemie dodatkowe oprogramowanie.

Plik browse32.ocx usuwa ponad 160 plików i cztery katalogi, próbując wymazać jakiekolwiek informacje o infekcji (aby utrudnić analizę powłamaniową, usuwane dane zostają nadpisane losowymi znakami).

Flame robak

Flame robak (fot. itp.net)

Z analizy wynika, że moduł powstał najprawdopodobniej 9 maja 2012, czyli kilka tygodni przed opublikowaniem informacji o Flame. Co ciekawe wcześniej trojan był już wyposażony w moduł autodestrukcji o nazwie SUICIDE i zbliżonym do browse32.ocx działaniu. Nie wiadomo czemu nie został on wykorzystany i twórcy zdecydowali się na stworzenie nowego modułu…

C&C Flame’a ciągle działają

Twórcy Flame’a ewidentnie próbują zatrzeć po sobie ślady. Można przypuszczać, że zależy im np. na ukryciu informacji jak wiele systemów zostało zainfekowanych. Warto również podkreślić, że wbrew początkowym informacjom iż wszystkie serwery C&C trojana zostały usunięte po ujawnieniu Flame’a, niektóre z nich ciągle działają. Wygląda na to, że twórcom Flame’a udało się utrzymać część kont wykorzystywanych do rejestracji domen pod serwery C&C…

Przeczytaj także:

8 komentarzy

Dodaj komentarz
  1. Mógłby mi ktoś streścić o co chodzi z tym robakiem? Od początku.

    • Wpisz w prawym górnym rogu Flame, naciśnij enter …i czytaj od dołu ;)

  2. Ja się nie mogę doczekać analizy tego robala – takiej jak w przypadku jego sławnego ‘poprzednika’.
    Tyle tylko, że ze względu na konstrukcję Flame’a przyjdzie nam jeszcze na to długo czekać…

    • i tak pewnie krócej niz w przypadku confickera (patrz md6).

  3. Coraz więcej poszlak że ktoś bardzo wysoko, a może i nawet z samej siedziby Redmond maczał w tym palce.

    Ale jeśli to faktycznie zespół z zewnątrz, to mamy dość mocno przerąbane. Boję się pomyśleć ile urządzeń mogło być zainfekowanym i jak bardzo skutecznie by zadziałał killswitch.

    Atomówki wyszły z mody, cyberwojna jest gorsza.

  4. Jeśli chodzi o Redmond to nie ma co się łudzić że nie ma tam agentów CIA/NSA/FBI największy dostarczyciel softu o zasięgu globalnym, proszę. Wystarczył jeden człowiek odpowiednio usytuowany. Na szczęście dla nas szaraczków to są operacje zakrojone na szeroką skalę gdzie liczy się chirurgiczna precyzja ataku, więc nie mamy się o co martwić bo nie mamy ropy :) a nawet jeśli to większość z nas nie jest na tyle istotna strategicznie żeby strzelać do nich z takiej armaty jak flame.

    • Mnie nie obchodzi to, czy jestem ważny dla FBi czy nie. Ja chcę tylko mieć czysty pecet, bez żadnych robaków czy rootkitów. Największy botnet na świecie ma we władaniu MS, dzięki rootkitowi Windows.

    • @kurczak: just use Linux ;)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.