Nieuws
image

Flame-virus onzichtbaar door feedback-module

donderdag 5 juli 2012, 15:27 door Redactie, 5 reacties

Het zeer geavanceerde Flame-virus kon vijf jaar lang onzichtbaar blijven dankzij de feedback-module waarover het beschikte. Flame werd eind mei ontdekt en zou onder andere gebruikt zijn om Iran te bespioneren. Het diende mogelijk als voorbode voor de Stuxnetworm, die de Iraanse uraniumverrijkingscentrale in Natanz saboteerde.

Flame beschikt over allerlei modules, die afhankelijk van de wens van de ontwikkelaars zijn in te zetten. Een bekende module is de 'zelfmoord' module, waardoor het spionagevirus zichzelf van besmette computers verwijderde.

Feedback
Een minder bekende module is advnetcfg.ocx, die de activiteiten van virusscanners monitorde en als debugger fungeerde. Deze module is speciaal ontworpen om gegevens te verzamelen om de functionaliteit van Flame te verbeteren en bugs te detecteren. Ook werd via deze module gecontroleerd of het spionagevirus al door virusscanners werd gedetecteerd

Elke keer Flame een venster ontdekte waarin een bestandsnaam van het virus werd genoemd of er strings zoals "injected" of "File mssecmgr.exe looks suspicious" voorbij kwamen, maakte de feedback-module een screenshot. Dit screenshot werd naar de Command & Control-server doorgestuurd, waar de programmeurs het analyseerden.

Onzichtbaar
"Aan de hand van deze analyse konden ze code toevoegen of bestaande code voor de volgende update verbeteren. We denken dat dit één van de features is waardoor Flame tenminste vijf jaar lang onopgemerkt kon blijven", zegt Marius Tivadar van het Roemeense anti-virusbedrijf BitDefender. Volgens Tivadar speelde de module ook een belangrijke rol in het verslaan van virusscanners.

De ontwikkelaars gebruikten "multi-engine scan services" om Flame te testen, maar hadden ook feedback van de 'productieomgeving' nodig, aangezien elk systeem uniek is en heuristieke detectie door parameters wordt beïnvloed die niet in een laboratorium zijn na te bootsen, laat de analist weten.

"Het klopt dat moderne malware foutmeldingen naar de C&C-server kunnen sturen, maar Flamer tilt dit naar een geheel nieuw niveau. Het stuurt complexe rapporten elke keer deze fouten op het scherm verschijnen of als ze door lokaal geinstalleerde virusscanners worden gedetecteerd", besluit Tivadar.

Reacties (5)
05-07-2012, 15:39 door [Account Verwijderd]
[Verwijderd]
05-07-2012, 16:24 door psycho aka elmo
Zeker een knap stuk werk.
Ik denk dat er ook maar weinig mensen zijn die dit soort complexe virussen kunnen schrijven.
Er zal ook behoorlijk wat uren zijn gespendeerd aan het bouwen / uitbreiden van het virus.
Zeker ook het punt dat er fout rapporten worden verzonden geeft toch wel aan dat dit niet een eenvoudig virusje is.
05-07-2012, 17:25 door Anoniem
Ik vind het altijd goed dat men over virussen/malware/scareware/trojans en andere rommel schrijft hier maar ik denk niet dat dit hetgene is wat de meeste mensen willen weten die hierdoor 'aangevallen' zijn of het op hun pc terecht gekomen is langs welke werg ook.
Wat de meeste mensen willen weten is, hoe krijg ik die rotzooi weg.
Of je zowiets een knap stuk werk mag noemen lijkt mij dan ook weer sterk overdreven, het is en blijft rotzooi.
05-07-2012, 17:51 door Anoniem
Als hier idd de Ver.Staten van Amerika achter zit is dit weer een reden te meer om de leiders vd VS strafrechtelijk en civielrechtelijk te gaan vervolgen.Het is die lui daar aan de overkant vd grote plas (ook wel Atlantische Oceaan genoemd) echt in de bol geslagen.Zij denken echt dat ze God zijn of namens Hem werken.Obama denkt echt dat hij God zelf is en dat hij maar van alles en nog wat kan flikken tegen zn medemensen.Ik zeg:in de handboeien en overbrengen naar het ICC in Den Haag! Ik vrees dat (het organiseren van) cybercrime (grootschalige pc-hacking&cyberspionage) nog een van de minste aanklachten is die tegen hem zal gaan lopen.Ik denk het zou nog veel ergere aanklachten gaan omvatten,zoals misdaden tegen de menselijkheid in Irak,Afghanistan,Libie,Pakistan en nu wellicht ook Syrie (het betalen en bewapenen van huurlingen die tegen het Syrische regime vechten). Die Amerikanen moeten nodig eens een lesje hebben,ze zijn God niet en Jezus zou zich in zn graf omdraaien als hij wist welke smerige praktijken de zgn. "christenen" Amerikaanse president Obama en zijn voorganger Bush erop na hielden/nog op na houden.
05-07-2012, 17:53 door Anoniem
Door psycho aka elmo: Zeker een knap stuk werk.
Ik denk dat er ook maar weinig mensen zijn die dit soort complexe virussen kunnen schrijven.
Er zal ook behoorlijk wat uren zijn gespendeerd aan het bouwen / uitbreiden van het virus.
Zeker ook het punt dat er fout rapporten worden verzonden geeft toch wel aan dat dit niet een eenvoudig virusje is.
Er zijn minstens honderdduizend mensen die dit kunnen. Iedere comp.sci. alumnus kan dit. Alleen nemen zij de tijd er niet voor. Da's een enorm verschil.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure