Nowy potężny wirus odkryty przez Kaspersky Lab

Eksperci od zabezpieczeń odkryli w tym tygodniu komputerowego wirusa, który w swoich proporcjach przyćmiewa każde dotychczas zdiagnozowane zagrożenie. Na ślad wysoce skomplikowanego robaka natrafiono na Bliskim Wschodzie, gdzie czekał ukryty w komputerach używanych w Iranie, Syrii, jak również w Autonomii Palestyńskiej i Sudanie. Nowy król złośliwego kodu został nazwany Flame (występuje również pod nazwami Flamer i SkyWiper) i jest on, jak się okazało po oględzinach dokonanych przez Kaspersky Lab oraz węgierskie Laboratorium Kryptografii i Bezpieczeństwa Systemów, najbardziej wyrafinowanym wirusem w historii. Dotychczasowi liderzy pod względem skomplikowania, czyli Stuxnet odkryty w maszynach obsługujących irański program atomowy w 2010 oraz Duqu, czyli złożony zbieracz informacji rozpoznany rok później, wydają się przy Flame niegroźnymi zabawkami.

Robak jest połączeniem trojana, backdoora oraz wirusa zdolnego do powielania się w zamkniętych sieciach oraz urządzeniach przenośnych (jeśli tylko otrzyma taką komendę od swojego twórcy). Złośliwy kod zbiera informacje o e-mailach, otwieranych i przesyłanych plikach, dokumentach oraz wiadomościach w komunikatorach. Co więcej, wirus posiada możliwość zdalnej kontroli, aby jego operator mógł włączać dodatkowe moduły mające na celu kasowanie danych. Gdyby tego było mało, Flame jest zdolny do przeszukiwania urządzeń obsługujących Bluetooth, jeśli tylko jego host ma wbudowany moduł komunikacji bezprzewodowej w tym standardzie, otwierając przy okazji dostęp do plików twórcom robaka. Po wykonaniu tych czynności, Flame może skompresować i zaszyfrować pliki, czekając na komendę do ich wysłania, jak również rozpocząć proces samoczynnego kasowania jakichkolwiek śladów po sobie. Ciekawą a jednocześnie niepokojącą rzeczą jest fakt, że nowy król złośliwego oprogramowania waży blisko 20MB, posiadając wbudowany silnik bazy danych SQLite. Może to oznaczać bardzo dużą ilość czasu, zanim specjaliści w pełni "rozgryzą" Flame'a. Warto w tym momencie przypomnieć, że Stuxnet zajmował tylko 500KB. Analitycy z firmy Kaspersky wskazują na uderzające podobieństwa właśnie do tego szkodnika, który powielał się w odciętych od internetu komputerach sterujących urządzeniami do wzbogacania uranu w Iranie opóźniając znacząco postępy programu atomowego. Natomiast Duqu służył głównie do zbierania informacji. Ten ślad może sygnalizować, iż za całą trójką stoją ci sami twórcy, którzy bardzo nie lubią Iranu - na sabotowaniu prac Irańczyków najwięcej mogą zyskać Amerykanie i Izraelczycy, co czyni ich głównymi podejrzanymi. Dodatkowym tropem jest właśnie skomplikowanie kodu, wskazujące na duże środki spożytkowane na jego wytworzenie.

Źródło: Reuters / Kaspersky Securelist