Virus Flame po sobě zahlazuje stopy

Výzkumníci společnosti Symantec ve středu informovali o tom, že tvůrci kyberšpionážního malwaru Flame přikázali nakaženým počítačům, které dosud měli pod kontrolou, aby si stáhly a spustily modul, který má zahladit všechny stopy. Tento krok má značně ztížit důkladnou analýzu škodlivého softwaru.

Na blogu Symantecu je dále uvedeno, že Flame obsahuje mimo jiné funkci nazvanou SUICIDE (sebevražda), kterou je možné použít k odinstalování malwaru z nakažených počítačů. Přesto se tvůrci viru minulý týden rozhodli zvolit jiný způsob. Do nakažených počítačů, které byly stále zapojeny do jejich sítě, odeslali jiný odinstalační modul.

Nový modul se jmenuje browse32.ocx a jeho nejnovější verze byla vytvořena 9. května. „Netušíme, proč se tvůrci malwaru rozhodli nepoužít funkci SUICIDE a místo toho poručili programu podniknout jiné kroky k vlastnímu zničení, které jsou připravené v novém modulu,“ napsali výzkumníci Symantecu.

I když nový modul nabízí obdobnou funkčnost jako SUICIDE, tedy odstranění velkého množství souborů využívaných tímto malwarem, umí i něco navíc. „Vyhledá na disku všechny související soubory, odstraní je a potom přepíše disk náhodnými znaky, aby tím ztížil získání informací o nákaze,“ uvedli výzkumníci Symantecu. „Tato komponenta obsahuje nástroj pro generování náhodných znaků použitých při přepisování. Snaží se co možná nejlépe zahladit všechny stopy nákazy.“

Při standardním odstranění souboru nejsou ve skutečnosti smazána data z disku, ale jen odkaz na ně. Uvolněné bajty jsou označeny jako volné a systém na ně může znovu zapisovat. Protože ale nejde odhadnout, za jak dlouho systém příslušná místa na disku přepíše, je možné odstraněné soubory obnovit buď zcela, nebo alespoň částečně. Proto nový modul zaplní uvolněný prostor náhodnými shluky znaků, aby podobnou rekonstrukci odstraněných souborů co nejvíce ztížil.