image

Flame-virus verbergt data onzichtbaar op USB-stick

maandag 11 juni 2012, 10:38 door Redactie, 3 reacties

Om toch vertrouwelijke informatie van computers zonder internetverbinding te stelen, verstopte het Flame-virus een database op USB-sticks. Het was al bekend dat het spionagevirus dat op zo'n 400 computers werd aangetroffen een gigantisch hoeveelheid gegevens steelt. In het geval de malware op een systeem terecht is gekomen dat niet over een internetverbinding beschikt, gebruikt het mensen als springplank om de informatie toch te versturen.

Bestandsnaam
Op USB-sticks maakt Flame een bestand genaamd '.' (punt) aan, wat normaliter in Windows niet kan. Flame doet dit door een 'RAW write' in de FAT directory entry te doen. De punt bestandsnaam wordt door Windows Explorer genegeerd, omdat het dit als de huidige directory beschouwt. Daardoor is het bestand onzichtbaar voor eindgebruikers.

Het verborgen bestand op de USB-stick is een versleutelde SQLite database, met onder andere een overzicht van de gebruikte Flame-modules. In het geval de USB-stick in een andere met Flame besmette computer wordt gestopt, wordt vergeleken of de computer zonder internetverbinding nog wel de meeste recente versie van het virus draait.

Als dat niet het geval is, worden de modules op de USB-stick gesynchroniseerd. Hierdoor kan Flame ook besmette computers zonder internetverbinding van de laatste versie van de malware voorzien.

Prioriteit
In het geval de USB-stick vol raakt, geeft Flame prioriteit aan bepaalde documenten en bestanden. Het zal bestanden met een lage prioriteit dan verwijderen. De belangrijkste bestanden zijn docx, doc, pptx, ppt, pps, xlsx en xls. CAD-bestanden hebben een lagere prioriteit en JPEG-afbeeldingen staan helemaal onderaan de lijst. Pas als de USB-stick in een computer met internetverbinding wordt gestopt en verbinding met de Command & Control-server van de aanvallers heeft gemaakt, wordt de database geüpload en alle geüploade bestanden verwijderd, zodat er weer ruimte op de USB-stick is.

Het Roemeense anti-virusbedrijf BitDefender stelt dat het pendelen van de besmette USB-sticks tussen computer met en zonder internetverbinding ook opzettelijk kan gebeuren. "Een mol die bewust de stick van het afgesloten netwerk meeneemt naar een systeem met internetverbinding."

Vorige week donderdag werd bekend dat Flame 'zelfmoord' op besmette computers pleegt.

Reacties (3)
11-06-2012, 13:28 door User2048
Ik raak er steeds meer van overtuigd dat Flame door (of in opdracht van) een overheid gemaakt is.

De suggestie van BitDefender over een mole doet denken aan de manier waarop Stuxnet in Iran naar binnen is gekomen.
11-06-2012, 15:10 door Anoniem
Helpt het dan om een USB stick als NTFS te formatteren? Of zou hij dan theoretisch alsnog een FAT write kunnen doen?
13-06-2012, 10:42 door Anoniem
een raw write zou gemaakt kunnen zijn om op zowel NTFS als FAT een dergelijk bestand aan te maken, geen idee of dit op NTFS onopgemerkt zou blijven of zelfs mogelijk is om een single-special-character filename aan te maken
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.