Volgens sommige beveiligingsexperts is het Flame-virus dat uitgebreid door de media is belicht helemaal niet zo bijzonder, daarnaast was er één virusscanner die de malware wel detecteerde. "Er worden al vele jaren dit soort tools door high-end teams gebruikt", zegt Richard Bejtlich van beveiligingsbedrijf Mandiant. Hij vergelijkt de malware met de spyware die de Duitse overheid liet ontwikkelen om verdachten te bespioneren.
Ook anti-virusbedrijf Webroot stelt dat het virus niet zo complex of verborgen als Stuxnet is, en een relatief eenvoudig te detecteren valt. Virusbestrijder Sophos merkt op dat Kaspersky Lab, dat als eerste met de ontdekking naar buiten kwam, slechts een paar honderd met Flame besmette computers heeft ontdekt. "Dat is niet zoveel", aldus Graham Cluley van Sophos. "Het is vrij onbetekenend als je het vergelijkt met de 600.000 Mac-comptuers die eerder dit jaar met Flashback besmet raakten."
Bluetooth
Inmiddels heeft Kaspersky Lab een nieuwe analyse van Flame online ingezet, inclusief een overzicht van alle modules die de malware gebruikt. Onder andere de veelbesproken Bluetooth-module, waarmee Flame informatie van kwetsbare telefoons en andere Bluetooth-apparaten kan stelen, alsmede een lijst samenstellen van Bluetooth-apparaten in de buurt.
"Volgens mij heb ik dit nog nooit eerder gezien", zegt Alan Woodward, professor informatica aan de Universiteit van Surrey.
Detectie
De malware werd in eerste instantie niet gedetecteerd, toch was er één product dat het gedrag van Flame detecteerde. Het gaat om ECAT, een virusscanner die geen signatures gebruikt om malware te detecteren. Volgens Silicium, dat ECAT ontwikkelt, is Flame helemaal niet zo onzichtbaar. "Het gehele pakket is 20MB groot, zet meerdere verbindingen op en kan 90% of meer van de processor in beslag nemen. Dat is nu niet echt onopgemerkt blijven."
Een test met een Flame-exemplaar toont dat ECAT wel alarm slaat dat er iets mis met de machine is. "Hoe complex Flame ook is, om effectief te zijn en de taken uit te voeren, moet het de staat van het doelwit veranderen en proberen zichzelf te verbergen. Dit gedrag werd door ECAT opgemerkt, ook al miste bijna elke andere beveiligingsoplossing dit", aldus de beveiliger.
Deze posting is gelocked. Reageren is niet meer mogelijk.