De Iraanse autoriteiten beweren dat het land na Stuxnet en Duqu door een nieuwe geraffineerde worm is aangevallen, genaamd Flamer. De naam is afkomstig van één van de modules die in de malware werd aangetroffen. Volgens het Iraanse CERTCC is Flamer een platform dat voor verschillende doeleinden modules kan installeren. Een test door de Iraanse autoriteiten bij VirusTotal.com zou uitwijzen dat geen één van de 43 virusscanners de malware herkende.

Flamer verspreidt zich via USB-sticks en gedeelde netwerkschijven, kan netwerkverkeer analyseren en lijsten met wachtwoorden verzamelen, de inhoud van besmette computers doorzoeken, via de microfoon omgevingsgeluiden opnemen en in het geval van bepaalde processen of geopende vensters screenshots maken.

Verwijdertool
De malware infecteert zowel Windows XP, Vista als Windows 7-systemen. Aan de hand van de complexiteit, manier van verspreiden en gerichtheid van de aanval, houdt die volgens de Iraanse autoriteiten nauw verband met de aanvallen van Stuxnet.

Inmiddels zouden Iraanse wetenschappers een verwijdertool voor de malware hebben ontwikkeld. Onlangs liet Iran nog weten dat het geen buitenlandse beveiligingssoftware meer zal gebruiken, maar een eigen virusscanner gaat ontwikkelen.

Update 16:18
Kaspersky Lab heeft inmiddels een analyse van Flamer online gezet en zegt dat de malware 20 keer groter dan Stuxnet is en over verschillende aanvals- en cyberspionage eigenschappen beschikt. De worm zou echter geen grote overeenkomsten met Stuxnet of Duqu hebben en is niet op hetzelfde 'tilded platform' ontwikkeld.

Er zijn mogelijk aanwijzingen dat de makers van Flame wel toegang hadden tot de technologie die in het Stuxnet-project werd gebruikt. Dit is echter niet zeker en volgens analist Aleks Gostev valt niet uit te sluiten dat Flame pas ontwikkeld is nadat details over Stuxnet bekend zijn geworden.

Hoe Flame op precies besmette machines terechtkomt is nog onbekend. Wel is duidelijk dat de malware het spooler service-lek in Windows gebruikt, waardoor ook Stuxnet zich wist te verspreiden. Daarnaast ligt het aantal slachtoffers ook veel hogere. Wereldwijd zouden duizenden slachtoffers zijn gemaakt, terwijl Duqu minder dan 50 instellingen infiltreerde.