Een deel van het Flame-virus is waarschijnlijk in 2008 ontwikkeld, zo blijkt uit analyse van data op VirusTotal.org. Beveiligingsbedrijf AlienVault besloot een aantal van de onderdelen van de 'supermalware' in de database van VirusTotal op te zoeken. VirusTotal gebruikt zo'n 40 virusscanners om bestanden te scannen. De tool wordt ook vaak door aanvallers gebruikt om te controleren of anti-virusbedrijven hun malware detecteren.

Dat blijkt ook in het geval van Flame gebeurd te zijn. Het oudste Flame-onderdeel dat de onderzoekers in de database aantroffen dateert van 21 mei 2009 en heeft een compilatiedatum van halverwege 2008. Een ander deel van de malware dat ook in 2009 werd geüpload, werd door drie verschillende virusscanners herkend.

Modules
Aan de hand van de informatie stelt AlienVault dat Flame waarschijnlijk al vier jaar actief is. "Sommige onderdelen van Flame werden door anti-virusbedrijven onder andere namen gedetecteerd. Dit kan erop wijzen dat de auteurs oudere code/binaries gebruikten of sommige van de onderdelen al door anti-virusbedrijven waren ontdekt", zegt analist Jaime Blasco. Hij verwacht dat er in de komende dagen nieuwe modules van de malware worden ontdekt, met features die nog niet bekend zijn.