Het Flame-virus waarvoor vandaag door de Iraanse autoriteiten werd gewaarschuwd is zo groot en complex dat het zeker tien jaar kost om volledig te analyseren. Flame, Flamer of SKyWIper, zoals de malware wordt genoemd, is gigantisch in omvang. Terwijl de complexe Stuxnetworm die een Iraanse uraniumverrijkscentrale saboteerde zo'n 500KB groot was, neemt de volledige versie van Flame met alle modules 20MB in beslag. Flame bevat meerdere libraries, SQLite3 databases, verschillende encryptieniveaus en twintig plug-ins die allerlei functionaliteiten bieden. Een deel van de code is in de LUA programmeertaal geschreven, wat erg ongewoon voor malware is.
"Het duurde een half jaar om Stuxnet te analyseren. Dit is twintig keer gecompliceerder. Het zal ons tien jaar kosten om alles te begrijpen", aldus analist Aleks Gostev van Kaspersky Lab. De malware kan op systemen gegevens stelen, netwerkverkeer onderscheppen, screenshots van schermen maken, de microfoon inschakelen en nog veel meer. "Daardoor is het één van de meest geavanceerde en volledige aanvals-toolkits ooit ontdekt", zo laat Kaspersky Lab in een verklaring weten.
De onderzoekers van het anti-virusbedrijf denken dat Flame een parallel project is, gemaakt door hetzelfde team dat werd ingehuurd om Stuxnet en Duqu te ontwikkelen. Het voornaamste doel van de malware is in tegenstelling tot Stuxnet geen sabotage, maar cyberspionage. Naast infecties in Iran zijn ook computers in Israël, Hongarije, Libanon, Palestina, Sudan en Syrië door de malware besmet geraakt.
Onzichtbaar
Het Hongaarse CrySyS Lab en de Universiteit van Boedapest deden onderzoek naar de malware en concluderen dat die mogelijk al vijf tot acht jaar actief is en niemand ooit maar iets heeft opgemerkt. Flamer gebruikt vijf verschillende encryptiemethoden, drie verschillende compressietechnieken en tenminste vijf verschillende bestandsformaten. CrySyS Lab noemt Flamer in de eigen analyse de meest complexe malware tot nu toe ontdekt.
Het feit dat de malware zolang onopgemerkt bleef toont volgens Mikko Hypponen van het Finse F-Secure het falen van de anti-virusindustrie aan. "Het ergste van Flame is dat het zich al jaren verspreidt. Stuxnet, Duqu en Flame zijn allemaal voorbeelden waar wij, de anti-virusindustrie, hebben gefaald. Al deze gevallen bleven lange tijd onopgemerkt."
Mohan Koo van beveiligingsbedrijf Dtex Systems schetst een somber beeld voor de toekomst: "Wat mij beangstigt is dat als ze dit vijf jaar geleden al konden, ik alleen kan verzinnen wat ze nu aan het ontwikkelen zijn."
Deze posting is gelocked. Reageren is niet meer mogelijk.