Виявлено новий супервірус небаченої складності

29 травня 2012 р

Відео: Чи не робота, а мрія: європарламентарі користуються небаченими пільгами

Уже кілька антивірусних компаній і незалежних центрів з мережевої безпеки визнали існування нового Супервірус небаченої складності. У класифікації «Лабораторії Касперського» і Міжнародного союзу електрозв`язку ITU при ООН він носить назву Worm.Win32.Flame (за назвою однієї з активно використовуваних внутрішніх бібліотек), в інших класифікаціях він також називається Flamer (іранська група швидкого реагування по комп`ютерним інцидентів Махер), а угорська лабораторія шифрування і безпеки CrySyS (Laboratory of Cryptography and System Security) при Будапештському техніко-економічному університеті дала йому назву SkyWiper.

Зараз вже визнано, що всі ці назви відносяться до одного і того ж «Супервірус», розмір якого з усіма додатковими модулями перевищує 20 Мбайт. Кожен окремий модуль Flame може мати розмір до 6 Мбайт, що незвично для вірусу, але в повній мірі відображає його величезні можливості - аж до запису переговорів поруч з комп`ютером через підключений мікрофон навушників або веб-камери, або захоплення інформації з телефонних книг в смартфонах, розташованих недалеко від ПК, через Bluetooth-адаптер.

Відео: САМІ ЗАГАДКОВІ ЗБІГИ В ІСТОРІЇ

Перші випадки виявлення вірусу Flame в «дикому вигляді» зафіксовані в 2010 році в Ірані (в серпні) і Лівані (в березні). Крім того, експерти журналу Wired виявили, що файли, схожі з компонентами вірусу Flame, були знайдені в Європі (грудень 2007 року) і Об`єднаних Арабських Еміратах (квітень 2008 року). Зараз випадки зараження відзначені в багатьох країнах, хоча більшість постраждалих комп`ютерів знаходяться в Ірані, на території Ізраїлю і Палестини, в Сирії, Єгипті та Судані.

Що стосується функцій вірусу, це великий модульний комплекс з централізованим управлінням по захищеним SSL-каналах. Залежно від складу встановлених модулів він підтримує викрадення засекречених файлів за заданими ознаками, може вести аудіозаписи з відправкою на керуючий сервер, робить знімки екрану (кожні 60 секунд в звичайному режимі або кожні 15 секунд, якщо запущено важливий додаток на зразок Skype або електронної пошти) і підключається до стільникових телефонів в зоні видимості через Bluetooth для копіювання телефонних книг. Також вірус вміє змінювати свою поведінку в залежності від того, який антивірус виявлений на зараженій машині. Наприклад, якщо виявлено антивірус McAfee, то розширення файлів з виконуваним кодом вірусу змінюється з .OCX на .TMP.

Відео: Прокляття Скіфів привело в жах археологів! Шокуюча новина вченим загрожує величезна небезпека !!!

Більшість експертів сходиться на думці, що настільки великий і потужний вірус міг бути створений тільки за підтримки якоїсь держави. Більш того, незважаючи на відсутність явних аналогій з вірусами Stuxnet (був направлений на зрив ядерної програми Ірану) і Duqu (вважається допоміжним інструментом, родинним Stuxnet), є ряд ознак, що вказують на те, що вірус був створений іншою командою розробників, але в один період і в одній організації. Зокрема, експерти знайшли у вірусі Flame використання тих же вразливостей, які 5 років тому застосовувалися для поширення вірусів Stuxnet і Duqu через USB-флешки (за допомогою механізму автозапуску і через файли ярликів .LNK) і по локальних мережах (з використанням давно закритої проблеми з переповненням буфера друку в середовищі Windows). Хоча всі ці проблеми давно виправлені, фахівці досі гадають, як саме вірус виконує початкове зараження комп`ютерів - є докази, що він може бути присутнім в операційній системі Windows 7 з усіма актуальними оновленнями і антивірусами. При цьому механізм автоматичного поширення і зараження у вірусі відключений, наскільки відомо.

Технічно вірус Flame є справжній шедевр шкідливого програмування. Повністю встановлений і працює вірус містить безліч модулів і бібліотек, включаючи СУБД-модуль SQLite3, алгоритми шифрування з різним рівнем стійкості, засоби стиснення і упаковки для захопленої інформації, а також більше 20 плагінів, які можна комбінувати в довільному поєднанні. Усередині вірусу реалізована навіть віртуальна машина для виконання програм на мові LUA, що взагалі вкрай рідко зустрічається у шкідливі програми. За замовчуванням в коді жорстко прописані адреси п`яти керуючих серверів, проте, по команді «з центру» цей перелік можна розширити.

Відео: Битва з охоронцями! Гіршому в`язниці Америки! Американська в`язниця особливого режиму

Чому вірус Flame п`ять років вислизав від широкої уваги? Можливо, через те, що в звичайному стані він майже не веде руйнівної діяльності, якщо не брати до уваги накопичення і відправку інформації, що збирається в найбільших обсягах. Найчастіше цей вірус зустрічається на комп`ютерах організацій, що мають відношення до нафтовидобувної і нафтопереробної галузі, енергетиці та банківським структурам Близького Сходу і Африки.

На даний момент вже кілька антивірусних компаній, включаючи приватні Symantec, Sophos і «Лабораторію Касперського», а також управління комп`ютерної безпеки Ірану, випустили відповідні кошти для виявлення і знищення основних компонентів Flame. У той же час, з урахуванням невідомої природи поширення вірусу, залишається незрозумілим, як саме вірус потрапив на заражені машини, чому не виявляв значної активності досі, і які наслідки може мати його «бойове застосування». Термін «бойове застосування» в даному випадку не випадковий - на думку фахівців з різних країн, вірус Flame має пряме відношення до військових розробок для ведення військових дій в кіберпросторі.

За матеріалами сайтів Wired, The Register, The Verge, Sophos і PC World.