Сотрудники "Лаборатории Касперского" обнаружили самый сложный вирус в истории Интернета
В ходе исследования, проводимого МСЭ (Международный союз электросвязи), российскими специалистами из «Лаборатории Касперского» была обнаружена в странах Ближнего Востока вредоносная программа Flame (Worm.Win32.Flame). Отмечается, что возможно она называется «самым сложным» вирусом в истории Интернета.
По сообщению специалистов «Лаборатории Касперского», программа Flame состоит из пакета нескольких модулей, которые в полностью развернутом виде занимают около 20 Мб. В связи с этим приложение трудно поддается анализу. Большой размер вируса достигается за счет множества включенных библиотек, к примеру, для сжатия используется ZLib, libbz2 и PPMD, и для работы с базами данных - sqlite3. Кроме того, приложение Flame содержит в себе и виртуальную машину LUA.
Как полагают в «Лаборатории Касперского», вирус распространялся при помощи целенаправленной атаки, но, источник его распространения пока не обнаружен.
Судя по всему, главной задачей вируса Flame является кибершпионаж. После внедрения в систему, вирус может проводить различные действия, к примеру, перехватить сетевой трафик, снять скриншоты с экрана, записать аудио-разговор, перехватить клавиатуру и так далее. Вся похищенная информация доступна для операторов вируса при помощи командных серверов.
Функциональность вируса расширяется при помощи подключения дополнительных модулей. На данный момент таких насчитывается около двадцати. Как отмечают специалисты «Лаборатории Касперского», на сегодняшний день зафиксировано около 600 случаев заражения с участием вируса Flame.
Учитывая сложность разработки, предполагается, что за созданием вируса Flame стоят некоторые правительственные структуры какого-либо из государств, но точное место происхождения вируса в антивирусной компании пока не называют.
Интересно, что зона распространения вируса включает кроме обычных стран (Иран, Египет, Ливан, Палестина, Сирия, Судан) также и традиционно дружественные Соединенные Штаты, Саудовскую Аравию и Израиль.
Специалисты склоняются к тому, что в вирусе Flame можно обнаружить применение схожих уязвимостей и методов заражения с распространенными червями Duqu и Stuxnet, которые использовались с целью хищения данных с производственных объектов Ирана.
Но, в отличие от указанных приложений, в вирусе Flame не используется единая платформа, присущая Duqu и Stuxnet. Использование аналогичных методик объясняется тем, что в 2010 году (замечены первые следы работы вируса Flame) информация начала размещаться в открытых источниках, откуда возможно ее взяли разработчики. Впрочем, вирус Flame может быть параллельным проектом вредоносных приложений Duqu и Stuxnet. Flame, в отличие от указанных выше вирусов, атакует не только компьютеры промышленности, но и устройства простых пользователей, образовательных организаций, государственных учреждений и так далее.
Комментарии: