"Шпионский" вирус Flame искал чертежи и PDF-документы на зараженных ПК
"Шпионский" вирус Flame искал чертежи и PDF-документы на зараженных ПК
"Шпионский" вирус Flame искал чертежи и PDF-документы на зараженных ПК
05.06.2012
Эксперты компании на минувшей неделе сообщили об обнаружении вредоносной программы Flame, которая, предположительно, была создана для незаметного похищения важной информации из компьютеров государственных ведомств и крупных компаний ряда ближневосточных стран. В беседе с корреспондентом РИА Новости Виталий Камлюк сообщил новую информацию, косвенно подтверждающую "шпионское" назначение вируса.
"Программа проявляет повышенный интерес к файлам PDF и DWG. DWG - это расширение файлов, созданных в программе AutoCAD, которая предназначается для создания и редактирования различных чертежей", - сказал РИА Новости Камлюк.
Данную информацию экспертам удалось выяснить после того, как они совместно с экспертами крупнейшего доменного регистратора GoDaddy и DNS-провайдером OpenDNS успешно провели операцию sinkhole. По итогам операции экспертам удалось подменить собственным сервером управления соответствующие серверы злоумышленников. С таких серверов злоумышленники отдавали команды зараженным с помощью Flame компьютерам и получали от них данные.
Также экспертам "ЛК" впервые удалось получить данные о реальном количестве заражений. Так, по новой информации, наибольшее число зараженных компьютеров (45) находится в Иране, на втором месте - Ливан (21), на третьем - Судан (14). Также единицы заражений были зарегистрированы в странах Европы. По словам Камлюка, вероятно, эти данные приходят от зараженных компьютеров граждан Ирана, Ливана, Судана и других ближневосточных стран, которые либо путешествуют в Европе, либо используют европейские серверы для анонимного входа в интернет.
Новые цифры гораздо меньше озвученных ранее примерно 500 зараженных компьютерах, но, как пояснил Виталий Камлюк, ранее компания получала данные из сети Kaspersky Security Network, которая, во-первых, полностью состоит из компьютеров, на которых установлена продукция "Лаборатории"; во-вторых, учитывает даже те компьютеры, на которых Flame уже нет, а был установлен в прошлом. Ныне же данные приходят лишь от активных ботов, чем и объясняется резкое изменение статистики заражений.
Успешное проведение процедуры sinkhole также дало исследователям множество другой информации о функционировании Flame. В частности, эксперты выяснили, что для обслуживания серверов управления Flame, злоумышленники зарегистрировали 80 доменов, первый из которых был зарегистрирован в 2008 году, что косвенно может указывать на то, что первая версия Flame появилась уже тогда. Все домены регистрировались по подставным данным, причем на одну "фальшивую личность" регистрировалось не более четырех доменов. Географически серверы управления были рассредоточены по всему миру. По словам Камлюка, все эти меры были приняты авторами Flame для того, чтобы максимально затруднить процесс их поиска правоохранительными органами.
Неизвестными остаются ответы на многие вопросы, связанные с данным вирусом. В частности, исследователи до сих пор не знают, каким образом происходит первоначальное заражение Flame - пока известны лишь способы распространения программы в локальной сети, уже после того, как программа туда попала. Неизвестны также и предплагаемые авторы вируса. Как рассказал Виталий Камлюк, по коду программы иногда можно определить хотя бы к какой языковой группе относится язык, на котором разговаривает автор программы, и является ли для него этот язык родным. По словам эксперта "Лаборатории", пока с уверенностью об авторах Flame можно сказать лишь то, что они хорошо говорят по-английски.
По мнению Александра Гостева - главного антивирусного эксперта "Лаборатории Касперского", шпионские вирусы, подобные Flame, действующие максимально незаметно и эффективно, получат широкое распространение уже в ближайшем будущем.
Copyright © 2018-2022, ООО "ГРОТЕК"