De makers van het Flame-virus hebben eind vorige week verschillende besmette computers een 'zelfmoordopdracht' gegeven, om de malware volledig van de machines te verwijderen. De Command & Control-servers waarmee de besmette computers werden aangestuurd waren door verschillende beveiligingsbedrijven overgenomen.
De aanvallers wisten weer toegang tot hun domein registratieaccounts te krijgen, waardoor het mogelijk was om de domeinen bij een nieuwe hostingprovider werden ondergebracht. Daardoor konden ze met een specifiek aantal machines communiceren.
De aanvallers stuurden vanaf de C&C-servers het bestand browse32.ocx, dat het Flame-virus en het bestand zelf van de computer verwijderde. Daarnaast verwijdert de module een lange lijst door Flame gebruikte bestanden en mappen en overschrijft het de schijf met willekeurige karakters om te voorkomen dat iemand de infectie ontdekt. Symantec laat niet weten of dit ook de werking van de computer verstoort.
Module
Anti-virusbedrijf Symantec wist deze module in een honeypot op te vangen. Eerder werd al duidelijk dat Flamer over een SUICIDE-module beschikt, die identiek aan browse32.ocx is. Waarom de aanvallers deze module niet gebruikten is onbekend.
De versie van browser32.ocx die onderschept werd, was op 9 mei 2012 gemaakt. Een aantal weken voor de bekendmaking van Flame. "Het is zeer waarschijnlijk dat eerdere versies van deze module in het verleden gebruikt zijn", aldus Symantec.
Deze posting is gelocked. Reageren is niet meer mogelijk.