Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
12/06/2012
Flame s'està autodestruint
Els responsables de Flame han creat un nou mòdul que fa que el cavall de Troia s'autodestruïsca.
Symantec ha publicat una nova anàlisi segons la qual el virus Flame/Flamer està distribuint un mòdul que activa l'autodestrucció total del programari maliciós. En informàtica forense, això indica que els creadors del virus intenten esborrar les seues empremtes. Encara que diverses empreses de seguretat informàtica han especulat que una organització estatal va posar Flame en circulació, la veritat és que no hi ha proves que sustenten esta versió.
Segons Symantec, els PC infectats contacten sistemàticament els seus servidors preconfigurats de comandament i control (command and control 'C&C') a fi de rebre noves instruccions i mòduls. La major part d'estos servidors i dominis han sigut clausurats. No obstant això, alguns servidors que continuen actius han enviat un mòdul denominat browse32.ocx que activa un mecanisme d’autodestrucció. Symantec qualifica el mòdul de uninstaller o desinstal·lador.
El mòdul conté una llarga llista d’arxius i carpetes utilitzades per Flame, que després detecta i esborra. A més, a fi d’impedir que els arxius siguen recuperats, el mòdul els sobreescriu amb caràcters aleatoris.
Symantec explica que el mòdul va ser creat el 9 de maig, poc després de publicar-se els primers informes sobre Flame. El cavall de Troia conté, a més, un altre mòdul, amb la mateixa funcionalitat que browse32.ocx, que té l’eloqüent nom Suicide.
Segons Kaspersky Lab, Flame té la capacitat de gravar sons utilitzant el micròfon del PC i fer captures de pantalla. Tota esta informació és enviada als servidors de comandament i control.
Entre els experts en seguretat informàtica hi ha discrepància sobre la complexitat i rellevància històrica de Flame. Mentres que algunes empreses de seguretat el qualifiquen del pitjor programari maliciós de la història, altres fonts recalquen que el nombre d’incidències és molt reduït i que els sistemes afectats es concentren a l'Orient Mitjà. El codi de Flame és 20 vegades més gran que el de Stuxnet, i això és degut al fet que el programari maliciós arrossega una pesada càrrega de biblioteques de programes.