Autori malvera Flame naložili zaraženim računarima samouništenje malvera

Vesti, 11.06.2012, 11:32 AM

Autori malvera Flame su naložili uklanjanje svih fajlova koji su povezani sa malverom sa zaraženih računara koji su još uvek pod njihovom kontrolom kako bi, pretpostavljaju stručnjaci, uklonili sve tragove ovog zlonamernog programa koji je razvijen za potrebe sajber špijunaže i kako bi onemogućili forenzičku analizu stručnjaka.

Istraživači Symantec-a su objavili da su prošle nedelje autori Flame-a odlučili da distribuiraju nekoliko različitih modula za samouklanjanje zaraženim računarima koji su još uvek pod njihovom kontrolom.

Iako modul pod nazivom called browse32.ocx čija je najnovija verzija napravljena 9. maja 2012. ima sličnu funkciju kao i SUICIDE, komponenta Flame-a koja se može koristiti za uklanjanje malvera sa zaraženog računara, i može da obriše veliki broj fajlova koji su u vezi sa malverom, on ide i korak dalje, kažu istraživači.

“On locira svaki Flame-ov fajl na disku, uklanja ga i zatim prepisuje disk nasumično izabranim karakterima kako bi sprečio da bilo ko dobije informacije o infekciji,” kažu u Symentec-u. Na taj način se uklanjaju svi tragovi koji bi mogli ukazati na to da je bilo infekcije.

Ipak, brisanjem fajla u Windows-u modul ne uklanja fajl sa hard diska već samo označava sektore diska koje zauzima fajl kao one koji su raspoloživi operativnom sistemu za prepisivanje.

Međutim, s obzirom da nije moguće predvideti kada će operativni sistem prepisati ovakve sektore, obrisani fajl, ili njegovi delovi, mogu biti vraćeni u prvobitno stanje, bar na neko vreme.

Aleks Gostev, iz Kaspersky Lab-a kaže da se prepisivanje fajla nasumično izabranim karakterima događa pre nego što browse32.ocx obriše Flame-ove fajlove a ne posle toga kako tvrde istraživači Symantec-a. Bez obzira na to, cilj je isti, kaže Gostev, a to je uklanjanje svih tragova malvera i otežavanje forenzičke analize.

Stručnjaci Kaspersky Lab-a su otkrili Flame dok su istraživali seriju incidenta sa gubitkom podataka u Iranu koji bi mogli biti posledica infekcije nekim malverom. Ipak, dokazi da je Flame povezan sa ovim napadima još uvek nisu pronađeni.

U Kaspersky Lab-u ne isključuju mogućnost da je neka, za sada nepoznata komponenta malvera Flame odgovorna za uništavanje podataka u Iranu, ali čak i ukoliko takva komponenta postoji, to zasigurno nije browse32.ocx. Razlog zbog čega browse32.ocx ne može biti odgovoran za brisanje podataka je taj što on briše samo one podatke koji su povezani sa malverom Flame.