El gusano 'FLAME' - La batalla en el Medio Oriente
El medio oriente es el centro de atención con un gusano llamado "Flame", arma cibernética muy sofisticada pero sin límites. Kaspersky Lab logro detectar una pieza de malware desconocido que fue eliminar la información confidencial a través de Oriente Medio. Si bien la búsqueda de ese código - Limpia el apodo - se ha descubierto un nuevo malware con nombre en código Worm.Win32.Flame.
En primer lugar, el gusano "Flame" es un enorme paquete de módulos que comprenden casi 20 MB de tamaño cuando esté plenamente operativo. será una pieza extremadamente dañino y difícil para analizar. La razón porque "FLAME" es tan grande se debe a que incluye diferentes librerias, como para la compresión (zip,war, libbz2, PPMD) y la manipulación de bases de datos (sqlite3), junto con una "virtual machine" o gestor de virtualización hecho Lua. que tienen un compilador de C estándar.
Lua es un lenguaje de scripts de (programación) es de muy fácil uso donde la interfaz con el código C. Muchas partes de "Flame" tienen una lógica de orden superior escrita en Lua - con subrutinas de ataque efectivas y las librerias compiladas a partir de C + +.
La parte efectiva Lua código es bastante pequeño en comparación con el código general. Nuestra estimación del "costo" de desarrollo en Lua es más de 3000 líneas de código, que por medio de un programador debe tomar alrededor de un mes para crear y depurar.
La parte efectiva Lua código es bastante pequeño en comparación con el código general. Nuestra estimación del "costo" de desarrollo en Lua es más de 3000 líneas de código, que por medio de un programador debe tomar alrededor de un mes para crear y depurar.
Además, hay internos para uso con bases de datos locales anidados consultas SQL, los métodos múltiples de codificación, algoritmos diferentes de compresión, uso de Windows Management Instrumentation de secuencias de comandos, secuencias de comandos por lotes o (batch scripting) y más.
Ejecuta y depurar el código malicioso es también no es trivial, ya que no es una aplicación ejecutable convencional, pero varios archivos DLL que se cargan en el arranque del sistema.
Ejecuta y depurar el código malicioso es también no es trivial, ya que no es una aplicación ejecutable convencional, pero varios archivos DLL que se cargan en el arranque del sistema.
En general, podemos decir que "Flame" es una de las amenazas más complejas que se haya descubierto.
"Flame" parece tener dos módulos diseñados para infectar las memorias portátiles USB, llamados "Autorun Infector" y "Euforia". No hemos visto en acción, sin embargo, tal vez debido al hecho de que "Flame" parece estar deshabilitado en los datos de configuración. Sin embargo, la capacidad de infectar las memorias USB que existe en el código, y es utilizando dos métodos:
1.-Autorun Infector: el "Autorun.inf" método de Stuxnet temprana, a través del "shell32.dll" “trick”. ¿Cuál es la clave aquí es que el método específico que se utiliza sólo en Stuxnet y no se encuentra en cualquier otro tipo de malware desde entonces.
2.- Euforia: se difundió en los medios de comunicación que utilizan un "punto de unión" directorio que contiene los módulos de malware y un archivo LNK que desencadenan la infección cuando se abre este directorio. las muestras contenían los nombres de los archivos pero no contiene el propio LNK.
Finalmente, El malware tiene la capacidad de tomar capturas de pantalla periódicamente. Lo que es más, toma capturas de pantalla cuando ciertos "interesantes" las aplicaciones se ejecutan, por ejemplo, IMs. Capturas de pantalla se almacenan en formato compreso y regularmente envía al servidor C & C, al igual que las grabaciones de audio.
Todavía se esta analizando este componente y se publicará más información cuando esté disponible.
Todavía se esta analizando este componente y se publicará más información cuando esté disponible.
Comentarios