Flame (datorvirus)

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 24 augusti 2019; kontroller kräver 11 redigeringar .

Flame  är en datormask som infekterar datorer som kör Microsoft Windows operativsystem versioner XP , 7 , Vista .

Det upptäcktes av Roel Schuvenberg, en senior datasäkerhetsforskare vid Kaspersky Lab , medan han undersökte Wiper-viruset som attackerade datorer i Iran, vilket tillkännagavs den 28 maj 2012 . De mest drabbade länderna är Iran , Israel , Sudan , Syrien , Libanon , Saudiarabien och Egypten .

Viruset kan samla in datafiler, fjärrändra datorinställningar, spela in ljud, skärmdumpar och ansluta till chattar och har funnits sedan åtminstone mars 2010. Flame-koden är 20 MB stor och överträffar Stuxnet -viruset i detta avseende . Flame använder zlib , libbz2 , ppmd bibliotek för komprimering, inbyggd sqlite3 DBMS , Lua virtuell maskin .

Vissa delar av viruset signerades digitalt med ett certifikat från Microsofts hierarki. [1] [2] Ett sådant certifikat kan erhållas av vilken ägare som helst av Terminal Licensing-servern; dock användes en ny MD5-hashkollisionsattack dessutom för Flame (Flame använder MD5-hashkollisioner och ersätter Microsoft-uppdateringar med sina egna [3] ). Tack vare attacken kunde certifikatet användas för att signera Windows-uppdateringar för Windows XP, Vista, 7 [4] [5] .

Vissa komponenter av viruset skickades först till VirusTotal -servern våren och sommaren 2009 [6] .

2012 upptäckte Kaspersky Labs experter att utvecklarna av Flame samarbetade med utvecklarna av en annan komplex mask, Stuxnet [7] .

I juni 2012 rapporterade The Washington Post , med hänvisning till icke namngivna västerländska tjänstemän, att Flames spionprogram utvecklades gemensamt av amerikanska och israeliska experter för att få information som kan vara användbar för att störa det iranska kärnkraftsprogrammet [8] .

Den 17 september 2012 publicerade Kaspersky Lab en studie på sin officiella blogg, enligt vilken Flame-viruset började utvecklas och implementeras 2006 ;

Se även

Anteckningar

  1. Microsofts certifikatutfärdares signeringscertifikat har lagts till i Untrusted Certificate Store . Hämtad 5 juni 2012. Arkiverad från originalet 5 juni 2012.
  2. Flame malware kollision attack förklarad (nedlänk) . Hämtad 12 juni 2012. Arkiverad från originalet 8 juni 2012. 
  3. Flames MD5-kollision är den mest oroande säkerhetsupptäckten 2012 . Hämtad 28 september 2017. Arkiverad från originalet 10 mars 2016.
  4. GitHub - trailofbits/presentations: Ett arkiv med presentationer av Trail of Bits (nedlänk) . Hämtad 31 juli 2013. Arkiverad från originalet 30 november 2012. 
  5. Flames kryptoattack kan ha behövt beräkningskraft för $200 000 | Ars Technica . Hämtad 28 september 2017. Arkiverad från originalet 18 mars 2017.
  6. http://labs.alienvault.com/labs/index.php/2012/how-old-is-flame/ Arkiverad 6 juni 2012 på Wayback Machine "Sedd först av VirusTotal 2009-07-29 ... Först sett av VirusTotal 2009-05-21"
  7. Tillbaka till Stuxnet: den saknade länken - Securelist . Hämtad 18 maj 2020. Arkiverad från originalet 14 augusti 2020.
  8. USA, Israel utvecklade Flame-datavirus för att bromsa iranska kärnkraftsinsatser, säger tjänstemän - The Washington Post . Hämtad 28 september 2017. Arkiverad från originalet 18 juli 2012.
  9. Kaspersky Lab Research Center (GReAT) . "Fullständig analys av Flame C&C-servrar"  (ryska) , SecureList  (17 september 2012). Arkiverad från originalet den 20 september 2020. Hämtad 18 maj 2020.

Länkar