Flame (malware)

Uit Wikipedia, de vrije encyclopedie
Ga naar: navigatie, zoeken

Flame[1], ook bekend als Flamer en Skywiper, is modulaire malware ontdekt in mei 2012. De malware valt computers aan waarop het besturingssysteem Microsoft Windows staat geïnstalleerd.

Ontdekking[bewerken]

Het flame-virus kon gedurende vijf jaar onzichtbaar blijven dankzij het gebruik van een feedback-module, die erin was geïntegreerd. Flame virus vertoont gelijkenissen met Stuxnet en Duqu. [2] De oorsprong van Flame is tot nu toe onbekend, maar er is wel geweten dat het virus het meest actief is in het Midden-Oosten en gebruikt wordt voor doelgerichte cyberspionage. De ontdekking werd publiek bekendgemaakt op 28 mei 2012 door het MAHER Center of Iranian National Computer Emergency Response Team (CERT), Kaspersky Lab en het CrySyS Lab of the Budapest University of Technology and Economics. Het CrySys Lab verklaarde in een rapport dat Skywiper de meest ingewikkelde malware was die ze tegenkwamen bij de oefening. Sterker nog, het is het meest complexe computervirus dat ooit gevonden werd.[3]

Werking[bewerken]

Flame beschikt over allerlei modules, die in werking treden volgens de wensen van de ontwikkelaars. Eénmaal een computer met flame besmet is, treedt het virus in werking. Flame kan computerschermafbeeldingen doorsturen, onthoudt wat de gebruiker op zijn toetsenbord intikt en kan het netwerkverkeer afluisteren. Indien de computer voorzien is van een microfoon, kan het virus, gesprekken opnemen en deze doorsturen naar zijn ontwikkelaars. Wat uniek is voor het flame virus is zijn capaciteit om gebruik te maken van Bluetoothverbindingen om het adressenboekje te kopiëren van iemand met een gsm, die in de buurt staat van de besmette computer. De gegevens worden doorgestuurd via control and command servers, die verspreidt staan over gans de wereld. De kwantiteit van de gestolen informatie en hun bestemming is tot nu toe nog onbekend.

Zelfmoordmodule[bewerken]

Flame beschikt over een zelfmoordmodule die de ontwikkelaars de mogelijkheid geven om het virus compleet te laten verdwijnen van een besmette computer. De ontwikkelaars maken gebruik van de control and command servers om het bestand browse32.ocx op te sturen die het virus en het bestand zelf van de computer wissen. Om geen sporen na te laten verwijdert de zelfmoordmodule de lijst van de bestanden en mappen gebruikt door flame en overschrijven die met willekeurige karakters. [4]

Zie ook[bewerken]

Bron

Referenties en voetnoten

  1. "Flame" is een string in de broncode. Het is een alledaags gebruikte benaming voor aanvallen (meest waarschijnlijk exploits)
  2. http://www.standaard.be/artikel/detail.aspx?artikelid=IO3QL6H1
  3. (en) Skywiper.pdf - sKyWIper is certainly the most sophisticated malware we encountered during our practice; arguably, it is the most complex malware ever found.
  4. http://www.security.nl/artikel/41793/Flame-virus_pleegt_'zelfmoord'_op_besmette_pc.html