Liczba postów: 4 085
Liczba wątków: 94
Dołączył: 13.05.2011
Reputacja:
109
Robak o nazwie Flame od pięciu lat buszował nierozpoznany(?!) po komputerach w Libanie, Iranie, Izraelu, Sudanie, Syrii, Arabii Saudyjskiej i Egipcie. Autor? Niestety nic o nim nie wiadomo. A więc czego się dowiedziano o Flame po pięciu latach od momentu wypuszczenia go?
Zawiera 20 razy więcej kodu, niż Stuxnet. Oczywiście, zadaniem tego robaka jest kradzież informacji, do czego został niezwykle uniwersalnie stworzony. Flame potrafi aktywować mikrofony w komputerach i nagrywać toczące się w pomieszczeniach rozmowy. Dodatkowo wykonuje regularne zrzuty ekranu i szuka telefonów w pobliżu przy pomocy protokołu Bluetooth.
Flame zainfekował już ok. 5 tys. komputerów głównie należących do firm komercyjnych i instytucji badawczych. Nie wykrada on żadnych danych związanych z finansami, a więc celem autorów nie jest raczejniż okradanie kont bankowych…
Wirusa opisał [Aby zobaczyć linki, zarejestruj się tutaj] , producent antywirusa, który, jak reszta programów, był nieczuły na Flame przez 5 lat...
Robi się coraz ciekawiej.
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 857
Liczba wątków: 16
Dołączył: 01.02.2012
Reputacja:
22
[Aby zobaczyć linki, zarejestruj się tutaj]
Właśnie napisali o nim na DP
ESET Smart Security 10
Kaspersky również pisze o Flame:
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 5
Liczba wątków: 4
Dołączył: 05.04.2012
Reputacja:
0
Tak samo jak i ZTS:
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 1 748
Liczba wątków: 317
Dołączył: 01.12.2011
Reputacja:
77
Ciężka będzie przyszłość, skoro antywirusy mają taką skuteczność. Jak widać bardziej skomplikowane aplikacje są w stanie ukrywać się kilka lat zanim zostaną wykryte. Tym samym zaczynam powątpiewać w ich skuteczność.
Liczba postów: 2
Liczba wątków: 0
Dołączył: 29.05.2012
Reputacja:
0
promototo napisał(a):Ciężka będzie przyszłość, skoro antywirusy mają taką skuteczność. Jak widać bardziej skomplikowane aplikacje są w stanie ukrywać się kilka lat zanim zostaną wykryte. Tym samym zaczynam powątpiewać w ich skuteczność.
Podobno "Flame" miał bazę ponad 300 sygnatur antywirusowych i dopisywał się do whitelist. Dodatkowo ile wykryto do tej pory infekcji? Coś chyba między 1 a 5 tysięcy. To znacząco pomaga unikać wykrycia. Przy większej skali było by to niemożliwe.
Liczba postów: 857
Liczba wątków: 16
Dołączył: 01.02.2012
Reputacja:
22
Antywirusy staja się coraz lepsze jak i wirusy są coraz lepsze.. Proste
ESET Smart Security 10
Liczba postów: 8 515
Liczba wątków: 1 641
Dołączył: 10.06.2009
Reputacja:
785
Nie wiem czemu, ale od razu miałem skojarzenia z niedawno publikowanymi również przez Kasperskiego informacjami na temat nowej odsłony SpyEye...jakoś dziwnie mi się to razem wiąże...
[Aby zobaczyć linki, zarejestruj się tutaj]
A odnośnie Flame...kolejny interesujący artykuł od KL [Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Liczba postów: 807
Liczba wątków: 32
Dołączył: 20.12.2010
Reputacja:
27
Ciekawe informaje od Bitdefendera
[Aby zobaczyć linki, zarejestruj się tutaj]
Cytat:The team working on it have uncovered that several components use an internal list called NetworkTypeIdentifier. This list references high-profile web sites such as *.overture.* , *.gmail.*, *.hotmail.* , *.bbc.co.* , *.bbc.co.* that are probed in order to get information about the bandwidth capabilities of the connection. However, the list also references three Iranian websites (*.baztab.* , *.maktoob.* , *.gawab.*) , which confirms once again that Iran was one of the designated targets.
Liczba postów: 2
Liczba wątków: 0
Dołączył: 29.05.2012
Reputacja:
0
Taka ciekawostka: moduł nteps32.ocx ( [Aby zobaczyć linki, zarejestruj się tutaj] ) ma identyczną funkcjonalność jak wykryty w 2010 trojan Tosy ( [Aby zobaczyć linki, zarejestruj się tutaj] )
A sample złośliwego kodu tutaj: [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 3 833
Liczba wątków: 70
Dołączył: 17.04.2008
Reputacja:
94
Ciekawostką jest to, że plik main module: md5: bdc9e04388bda8527b398a8c34667e18 mssecmgr.ocx wylądował na VT prawie 2 dni temu dopiero: 2012-05-29 00:40:44 UTC ( 1 dzień, 13 godzin ago ) : [Aby zobaczyć linki, zarejestruj się tutaj] (ta duża wersja 5.9MB)
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Liczba postów: 1 762
Liczba wątków: 71
Dołączył: 19.01.2009
Reputacja:
83
Jeszcze większe zaskoczenie jest takie, że przedstawiony plik na VT tylko PANDA nie wykrywa z renomonowanych firm.
EDIT:
Prevx (teraz Webroot) twierdzi, że w 2007 roku już mieli w swojej chmurze to zagrożenie.
Liczba postów: 4 085
Liczba wątków: 94
Dołączył: 13.05.2011
Reputacja:
109
Od 5 lat i nic o tym nie pisneli?... Od kiedy tak twierdzi?
Liczba postów: 1 762
Liczba wątków: 71
Dołączył: 19.01.2009
Reputacja:
83
Na wildersach jest wzmianka o tym. Twierdzili, że nie jest to groźne zagrożenie.
Dlatego nic nie napisali wcześniej o tym.
,,Privately held Webroot said its automatic virus-scanning engines detected Flame in December 2007, but that it did not pay much attention because the code was not particularly menacing.
That is partly because it was easy to discover and remove, said Webroot Vice President Joe Jaroch. "There are many more dangerous threats out there today," he said''''.
Liczba postów: 3 833
Liczba wątków: 70
Dołączył: 17.04.2008
Reputacja:
94
Techniczny raport by CrySyS Lab: [Aby zobaczyć linki, zarejestruj się tutaj]
Wszystkie hasze Flamera: [Aby zobaczyć linki, zarejestruj się tutaj]
Removal tools Flamer A/B by BitDefender:
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Liczba postów: 1 612
Liczba wątków: 74
Dołączył: 24.05.2011
Reputacja:
180
Podobno infrastruktura z której korzystano do kontrolowania Flame przechodziła przez różne kraje i działała też w Polsce. Poza Polską: Turcja, Niemcy, Hong Kong, Malezja, Łotwa, Wielka Brytania i Szwajcaria. KEK. Wyczytałem to na portalu chip.pl
SpyShelter Firewall
Liczba postów: 1 660
Liczba wątków: 25
Dołączył: 13.10.2010
Reputacja:
63
Avira w powiadomieniach też ostrzega o Flame:
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 3 833
Liczba wątków: 70
Dołączył: 17.04.2008
Reputacja:
94
Flame próbuje popełnić samobójstwo: [Aby zobaczyć linki, zarejestruj się tutaj]
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Liczba postów: 807
Liczba wątków: 32
Dołączył: 20.12.2010
Reputacja:
27
Ciekawy artykuł pod intrygującym tytułem "Why Antivirus Companies Like Mine Failed to Catch Flame and Stuxnet" [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 3 833
Liczba wątków: 70
Dołączył: 17.04.2008
Reputacja:
94
Robi się jeszcze ciekawiej, moduł z Flame był także w Stuxnet w 2009 roku: [Aby zobaczyć linki, zarejestruj się tutaj]
Stuxnet, Duqu, Flame - pisała ta sama osoba, osoby, organizacja, whatever
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
|