Flame (компьютерный вирус)

Материал из Википедии — свободной энциклопедии
Это старая версия этой страницы, сохранённая Gjrfytn (обсуждение | вклад) в 16:08, 28 июня 2017 (Ссылки: статья не присутствует в шаблоне). Она может серьёзно отличаться от текущей версии.
Перейти к навигации Перейти к поиску

Flame — компьютерный червь, поражающий компьютеры под управлением операционной системы Microsoft Windows версий XP, 7, Vista.

Его обнаружил Роэль Шувенберг, старший научный сотрудник по компьютерной безопасности Лаборатории Касперского во время исследования вируса Wiper, атаковавшего компьютеры в Иране, о чём было объявлено 28 мая 2012 года. Наиболее пострадавшими странами являются Иран, Израиль, Судан, Сирия, Ливан, Саудовская Аравия и Египет.

Вирус способен собирать файлы данных, удалённо менять параметры компьютера, записывать звук, скриншоты и подключаться к чатам, действует, по меньшей мере, с марта 2010 года. Код Flame имеет объём 20 МБ и значительно превосходит в этом отношении вирус Stuxnet. Flame использует библиотеки zlib, libbz2, ppmd для сжатия, встроенную СУБД sqlite3, виртуальную машину Lua.

Некоторые части вируса имели цифровую подпись, полученную с помощью сертификата из иерархии Microsoft.[1] [2] Подобный сертификат мог быть получен любым владельцем сервера Terminal Licensing; однако для Flame дополнительно использовалась новая атака для поиска коллизий в хеше MD5 (Flame использует коллизии в хеше MD5, подменяя обновления Майкрософт — своими[3]). Благодаря проведенной атаке сертификат можно было использовать для подписывания обновлений Windows Update для ОС Windows XP, Vista, 7[4][5].

Некоторые компоненты вируса впервые посылались на сервер virustotal весной-летом 2009 года[6].

В 2012 году эксперты лаборатории Касперского обнаружили, что разработчики Flame сотрудничали с разработчиками другого сложного червя Stuxnet[7].

В июне 2012 года газета Washington Post со ссылкой на неназванных западных чиновников сообщила о том, что шпионский вирус Flame разрабатывался совместно специалистами США и Израиля для получения информации, которая могла бы быть полезна в срыве иранской ядерной программы[8].

17 сентября 2012 года Лаборатория Касперского в своём официальном блоге опубликовала исследование, согласно которому вирус Flame начал разрабатываться и внедряться в 2006 году, записи командного сервера по управлению заражённых вирусом компьютеров, обнаруженные вирусными аналитиками, датируются 3 декабря 2006 года[9].

См. также

Примечания

  1. Microsoft certification authority signing certificates added to the Untrusted Certificate Store
  2. Flame malware collision attack explained
  3. Flame’s MD5 collision is the most worrisome security discovery of 2012
  4. GitHub - trailofbits/presentations: An archive of presentations by Trail of Bits
  5. Flame’s crypto attack may have needed $200,000 worth of compute power | Ars Technica
  6. http://labs.alienvault.com/labs/index.php/2012/how-old-is-flame/ "First seen by VirusTotal 2009-07-29 … First seen by VirusTotal 2009-05-21 "
  7. Back to Stuxnet: the missing link — Securelist
  8. U.S., Israel developed Flame computer virus to slow Iranian nuclear efforts, officials say — The Washington Post
  9. Исследовательский центр "Лаборатории Касперского" (GReAT) (2012-09-17). ""Полный анализ командных серверов Flame"". SecureList. Архивировано 21 сентября 2012. Дата обращения: 18 сентября 2012. {{cite news}}: Неизвестный параметр |deadlink= игнорируется (|url-status= предлагается) (справка)

Ссылки