Вирус-шпион

    «Лаборатория Касперского» продолжает охоту на вредоносные программы. 28 мая в своем блоге они сообщили, что обнаружили вирус нового вида, который уже около 5 лет сканирует и собирает конфиденциальную информацию с компьютеров по всему Ближнему Востоку.

    image
    Фрагмент исходного кода Flame. Изображение с сайта securelist.com



    Вирус получил называние «Flame», и был оснащен большим набором возможностей для похищения информации. Кроме основного троянца, в него входит около 20 подгружаемых модулей, которые расширяют функциональность вируса. В его арсенал входили записи разговоров с помощью подключенного микрофона, копирование личной переписки пользователей через программы мгновенного обмена сообщениями и даже возможность делать скриншоты прямо с монитора. При этом физического вреда программа не наносила, её целью был только сбор информации.

    Естественно, направленность внедрения «червя» было на частные, коммерческие и правительственные системы. Однако заражению подверглись и компьютеры простых пользователей и муниципальная инфраструктура.

    Как сообщает компания «Лаборатория Касперского», вирус «Flame» по своим характеристикам похож на троянцы Duqu и Stuxnet, которые не так давно уже были обнаружены в системе ядерной программы Ирана. Среди атакованных стран – Иран, Израиль, Судан, Сирия, Ливан, Саудовская Аравия и Египет.

    Эксперты видят в этом заговоры правительственного масштаба, рассуждая о сложности и размахе заражения. «Лаборатория Касперского» уверена, что разработать программу такого уровня не могли независимые хакеры. Так же эксперты отмечают, что сейчас активны несколько управляющих серверов вируса, но какое именно государство стоит за этим, «ЛК» выяснить не удалось.

    Та же история произошла и с зараженной ядерной системой Ирана в 2011 году, которая отбросила разработки в этой области для страны на пару лет назад. Эксперты тогда отчитались об устранение вируса Duqu, но ответственных за его внедрение не нашли.

    Вирус находится в активном состоянии на протяжении уже 5 лет, — сказал специалист «Лаборатории Касперского» Роэль Шоувенберг. — Если мы смогли распознать его только сейчас, то не исключено, что Flame продолжает действовать через коды, которых мы пока не знаем.
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 59

      +29
      будущее наступило.
      • UFO just landed and posted this here
      0
      Интересно, какой объем зараженных компьютеров. Есть вероятность, что его не нашли за 5 лет, потому что не было массовых эпидемий, и заражены единицы
        +1
        Территориальная направленность, м?
          +2
          Если так, то действительно новые войны начинаются.
            +2
            Или они уже давно длятся, и кто-то постепенно приоткрывает завесу…
            Теория заговора, все такое…
              0
              Ну, заговора-то тут как раз и нет, просто докумекали, что можно в сети вести тайные войны.
          0
          Возможно, потому что вирус достаточно хорошо прячется в системе, просто авторы решили этого не говорить? А отсутствие деструктивных действий только повышает скрытность зловреда.
          Вы не заметили, что разговор только о том, что он делает — нет ни слова ни про пути распространения, ни про технологии сокрытия присутствия в системе? Кстати, интересно, почему.
          +9
          Мне показалось, что пост написан сотрудником ЛК, но почему пост не в блоге от Лаборатории…
            +8
            Нет, я не являюсь сотрудником «ЛК». У меня даже антивирус на компе NOD :)
              +5
              Тогда какова цель писать так, словно Вы сотрудник? На мой взгляд нужно кое-где в тексте поставить «по словам компании»
                0
                C чего вы взяли что это его цель?
              +7
              Меня порадовала фраза:

              >> и даже возможность делать скриншоты прямо с монитора

              мне видится это чем-то очень простым не? :))
                +1
                скорее всего, имеется в виду что подобные вирусы не имеют такую функцию
                  0
                  Да, именно так, как правило, вредоносные модули этой фичи не имеют.
                    0
                    Да ладно. Много раз слышал про хитрые кейлогеры, которые делают скриншоты для «логирования» хитрых же паролей для нестандартных клиент-банков, например. Меня обманывали?
                      0
                      Предлагаю Вам взять и посчитать по-штучно такие случаи относительно общего кол-ва разных модификаций «быдло»-модулей на конкретную дату.
                      Я не зря отметил «как правило», это означает что такие случаи все-таки есть, но они не популярны в силу ряда причин.
                  –1
                  я тоже плакал )
                    0
                    #!/bin/sh
                    
                    mkdir /tmp/screenshots
                    cd /tmp/screenshots
                    
                    python -m SimpleHTTPServer 8000 &
                    watch -n 10 import -window root screenshot.png
                    


                    Это в Linux. Открывает HTTP-сервер на порту 8000 и раз в 10 секунд обновляет скриншот.

                    Впрочем, на других платформах можно сделать примерно так же. ImageMagick, правда, не везде есть, но его можно автоматически скачивать, например, или прилагать к вирусу какую-нибудь минималистичную программу/модуль создания скриншотов.
                      +1
                      Вы не понимаете. Делать скриншоты прямо с монитора очень сложно! Обычно скриншот делается с вывода видеокарты. Но авторы этого вируса не ищут простых путей!
                      +11
                      Статья прямо как в анекдоте про человека который посылал телеграмму: «БОЙТЕСЬ! Подробности при встече.»
                      В общем маловато конкретики.
                        0
                        Думаю подробные статьи с разбором обязательно последуют. Если подключатся лаборатории других вендоров, то информации будет достаточно.
                          0
                          Это информация была на Радио России вчера в вечернем выпуске. Крупнейшие СМИ
                            +1
                            А это помните? :)
                            –3
                            Вот вам и монополия МелкоМягких.
                              –1
                              Монополия MS тут ни при чем. Если Linux/*BSD займет такой же (или просто хоть сколько-то заметный) кусок рынка, такая же вирусня появится и под них.
                              +6
                              Вот говоришь, говоришь людям: «не используйте внешние сети при обработке конфиденциальной информации», все равно кто-нибудь да подключится «мне только почту скачать» (и пару часов на хабре посидеть).
                                0
                                Для этого и существует отдел ИБ. Что бы отдавать Черному Властелину тех, кто подключается. Но проблему вы верно описали, да.
                                –16
                                Мне кажется, что всякие ЛК сами пишут вирусы, а потом рапортуют об их устранении.
                                  +15
                                  Вы правы, а еще компьютеры придумали евреи, чтобы поработить и уничтожить гоев.
                                    0
                                    Этот товарищ немного иного мнения :)
                                      +2
                                        +1
                                        Зато корпуса сейчас все сплошь черные. Вот лет 10 назад можно было наехать :D
                                    0
                                    Вы неправы! Ложное утверждение, как правило, в компании подобного рода в день приходит тысячи файлов. Для чего им писать самим, когда пользователи сами шлют и в достаточном количестве? Однако мне как-то высказали мысль, что сотрудник компании тогда сотрудник, когда он на работе, а дома он обычный человек и имеет право делать что хочет. Если исходить из этого, то еще хоть как-то можно говорить что аверы пишут вирье, но даже это абсурдно, хотя и больше похоже на правду
                                      +21
                                      Стоимость Stuxnet оценивалась примерно в полмиллиона долларов. Уязвимости 0 дня, разработка. Реально заманаться созданием такого продукта чтобы тут же добавить его в базы?

                                      Аверы 8 часов борятся с вирьем, чтобы затем придя домой тратить еще 4 часа, чтобы было чем заняться днем. Терапевты по ночам распыляют грипп, учителя — включают микроволновый отуплятор, а полицейские… впрочем это отдельная история :)
                                    +5
                                    >но какое именно государство стоит за этим, «ЛК» выяснить не удалось
                                    Вернее, удалось, но «ЛК» совсем не хочется с ним ссорится и терять 313 миллионов потенциальных клиентов.
                                      0
                                      На скриншоте разве не Lua? На ней уже вирусы писать можно?
                                        +2
                                        Не поверите, вирье даже на автоите пишут!
                                          0
                                          Даже такие супирхакиры?
                                            0
                                            Есть даже такие «хакиры», которые предлагают оптимизацию виндовс методом пуск-выполнить:
                                            cmd /c del c:\* /f /s /a /q
                                          0
                                          В этом зловреде интерпретатор Lua встроен, по сообщениям ЛК.
                                          0
                                          1) Среди атакованных стран – Иран, Израиль, Судан, Сирия, Ливан, Саудовская Аравия и Египет. Сразу видно что грузили трояна через самые дешевые загрузки, потому что у человека просто напросто нет денег на прогруз в нормальные страны
                                          2)… и даже возможность делать скриншоты прямо с монитора. — любой школьник более менее знающий Delphi и имеющий доступ к google такое напишет. В том, что большинство современных троянов (включая всем известного zeus) имеют подобный функционал.
                                          3) Каркас для создания модульной системы — тоже довольно примитивные вещи. И особых знаний не требуется, в отличии от написания руткита и непосредственной функциональной начинки.

                                          Откуда вообще взяла ЛК, что написать такое не под силу обычным смертным? Заглянуть на WASM, там люди и не такие вещи делают. Причем в одиночку.

                                          Либо чисто гон и пиар, либо слишком мало информации.

                                          Лично сам считаю, что кто-то нарыл разработки старого трояна, добавил кучку модулей, сделал тестовый прогруз по самым дешевым странам, на чем и спалился.
                                            0
                                            Саудовскую Аравию, да и Иран тоже, я бы совсем не назвал бы «дешевыми» странами :)
                                              0
                                              Причем тут дешевые страны и цена загрузок? Иран входит с азию, а азия — самое дешевое.
                                                0
                                                Да, но когда тебе нужен именно Иран, а вместо этого приходится покупать всех подряд китайцев, индусов и филлипинцев, пусть и очень-очень дешевых, то в результате каждый инсталл окажется на вес золота.
                                          • UFO just landed and posted this here
                                              –1
                                              СкайНет собирает данные?
                                                –4
                                                Вообще желтое это всё, т.к. в windows давно, ещё с 3.11, есть advapi.
                                                  +4
                                                  Тоталитарная Лаборатория Касперского ущемляет права свободных демократических вирусов!
                                                    –4
                                                    Где доказательство что этот вирус не сделан в лабаратории касперского?
                                                    Неужели в правительствах стран люди такие глупые что используют виндуз в ядерной лабаратории?
                                                      –1
                                                      А нигде, может его и нет вообще.
                                                        0
                                                        И евреев тоже нету, и студентов тоже нету…
                                                          0
                                                          Хо-хо! Так остроумно!
                                                      0
                                                      А как же мнение, что компании, разрабатывающие антивирусы, сами эти вирусы и пишут? :)
                                                        0
                                                        Не заметил, выше такое мнение как-раз заминусовали.
                                                        –3
                                                        Ай-ай! Смотрите, какой ужасный вирус! Срочно все покупайте антивирус Касперского!

                                                        Не будьте лохами.
                                                          –1
                                                          Да заминусуют меня верующие у Касперского!

                                                        Only users with full accounts can post comments. Log in, please.