11/06/2012 20:48 | Антон Чивчалов

Вирус Flame ликвидирован его создателями — учёными мирового класса

Темы: Flame, ,

Авторы трояна Flame послали всем заражённым машинам команду о самоликвидации. Об этом сообщила фирма Symantec. Интересно, что троян выполнил не команду SUICIDE, которая была в его коде, а совсем другую. Он получил файл под названием browse32.ocx, в котором подержался список файлов, подлежащих удалению. Этот список Symantec опубликовала на своём сайте.

Существование этого модуля само по себе интересно, — пишут специалисты фирмы. — Проанализированный код показал наличие компонента SUICIDE, функционально идентичного browse32.ocx. Неизвестно, почему авторы программы решили не использовать функциональность SUICIDE, вместо чего заставили Flame выполнить действия на основе нового модуля.

На прошлой неделе выяснилась ещё одна интересная подробность о Flame. Этот троян стал первым в истории, использующим крайне сложный алгоритм под названием коллизионная атака. До 2008 года этот алгоритм был известен только в теории и никогда не был реализован ввиду своей сложности. В 2008 году группа специалистов из двух университетов Нидерландов создала экспериментальную программу коллизионной атаки на базе алгоритма MD5 для подделки сертификата браузеров. Она, впрочем, не наносила реального вреда.

Flame стал первой реальной вредоносной программой на базе коллизионной атаки, причём в ней использован полностью новый алгоритм, отличный от «голландского» и нигде прежде не описанный. С его помощью Flame смог подделать сертификат Windows и «угнать» механизм Windows Update, чтобы с его помощью разослать свои компоненты миллионам пользователей.

Голландские специалисты Марк Стивенс (Marc Stevens) и Бенне де Вегер (Benne de Weger), разработавшие первый метод коллизионной атаки четыре года назад, в четверг опубликовали заявление о том, что не знакомы с алгоритмом Flame и его изучение требует отдельного исследования. «Это приводит нас к выводу, что создание Flame частично основано на криптоанализе мирового уровня», — написал Стивенс.

Ранее в Лаборатории Касперского назвали Flame самым сложным из известных вирусов, создание которых под силу только правительству какой-либо богатой страны.

По материалам:  Electronista, Symantec, Ars Technica