Het beruchte Flame-virus gebruikt naast twee beveiligingslekken in Windows ook een feature van het besturingssysteem om zich te verspreiden. Net als Stuxnet gebruikt Flame een kwetsbaarheid in de Windows Print Spooler Service en een lek in Windows Shortcut 'LNK/PIF' bestanden. Ook maakt het gebruik van een speciaal gemaakt Autorun.inf bestand en probeert het via gestolen inloggegevens op gedeelde netwerkschijven in te loggen.
In het geval van het LNK-lek wordt een geheel nieuwe methode gebruikt die onderzoekers nog nooit eerder hebben waargenomen. Het LNK-lek zorgt ervoor dat het openen van een USB-stick, bijvoorbeeld in de Windows-verkenner, voldoende is om besmet te raken ook al staat Autorun uitgeschakeld. Stuxnet gebruikte de kwetsbaarheid op deze manier.
Junction points
Flame gebruikt bij deze aanvalsmethode een Windows feature genaamd junction points. Een junction point laat een gebruiker een alias maken die naar een directory verwijst. In het geval van bijvoorbeeld C:\Dit\Zijn\Heel\Veel\Directories, kan er een junction worden gemaakt genaamd C:\DezeJunction die naar de eerdere directory wijst. Het junction point is eigenlijk een directory met speciale kenmerken.
Flame gebruikt junction points om de eigen bestanden te verbergen en zichzelf uit te voeren. De malware maakt op een USB-stick een normale directory aan. Daar binnen plaatst Flame drie bestanden, zichzelf, desktop.ini en target.lnk. Normaliter moet een junction point altijd naar een andere directory wijzigen, maar de makers van Flame hebben een manier gevonden om van de aangemaakte directory een junction point te maken. Zodra het slachtoffer deze map probeert te openen, wordt hij doorgestuurd naar de directory die in het bestand target.lnk staat opgegeven.
Daardoor kan de gebruiker de bestanden in de map niet zien. Tevens zorgt het gebruik van het junction point er ook voor dat via het aangeroepen lnk-bestand de lnk-kwetsbaarheid is uit te buiten en de malware zichzelf op het systeem installeert. "Flame is enorm groot en we verwachten dat we nog meer interessante trucs en nieuwe technieken zullen vinden bij het analyseren van deze dreiging", aldus anti-virusbedrijf Symantec.
Deze posting is gelocked. Reageren is niet meer mogelijk.