Especialistas de segurança na Kaspersky3 e Symantec4 já descobriram mais de 20 módulos e plugins para o malware, dos quais apenas uns poucos foram investigados em detalhe. O aplicativo malicioso contêm uma máquina virtual para a linguagem de scripting Lua5, tornando extremamente fácil o desenvolvimento de extensões flexíveis. Esse super-spyware, com outros nomes como Flamer ou SkyWiper, é também um bot convencional, que contata regularmente um servidor de controle-e-comando (comand-and-control) de onde obtêm novas instruções e envia as informações que coletou usando uma conexão criptografada em SSL.
6
O bot possui vários meios de se espalhar, incluindo através de dispositivos de armazenamento USB e redes locais. Em uma rede local, o Flame é capaz de usar o controle de domínios para criar contas de usuários em outros computadores, que depois usa para infectar as máquinas. Ainda não está claro se para isso ele usa vulnerabilidades presentes em versões não atualizadas do Windows -- a Kaspersky relatou até mesmo casos em que o Flame foi capaz de infectar sistemas Windows 7 completamente atualizados através da rede.Em análise sobre seu funcionamento, os especialistas da Kaspersky acreditam que o Flame é um software de espionagem industrial desenvolvimento pelo governo de um país. O malware possui o tamanho considerável de 20MB. Ele é 20 vezes maior do que o Stuxnet, contudo esse último foi desenvolvido especificamente para um único objetivo -- sabotar plantas de enriquecimento de urânio em Natanz, Irã.
Contudo, o alvo desse super-spyware ainda é incerto. Ele foi provavelmente usado diversas vezes em uma série de cenários para penetrar alvos específicos. Os pesquisadores do vírus observaram o Flame em sistemas pertencentes a organizações do governo, instituições educacionais e particulares. Os pesquisadores estimam que milhares de computadores estejam infectados.
Fonte: linux magazine.
Nenhum comentário:
Postar um comentário