Výzkumníci společnosti Symantec ve středu informovali o tom, že tvůrci kyberšpionážního malwaru Flame přikázali nakaženým počítačům, které dosud měli pod kontrolou, aby si stáhly a spustily modul, který má zahladit všechny stopy. Tento krok má značně ztížit důkladnou analýzu škodlivého softwaru.
Na blogu Symantecu je dále uvedeno, že Flame obsahuje mimo jiné funkci nazvanou SUICIDE (sebevražda), kterou je možné použít k odinstalování malwaru z nakažených počítačů. Přesto se tvůrci viru minulý týden rozhodli zvolit jiný způsob. Do nakažených počítačů, které byly stále zapojeny do jejich sítě, odeslali jiný odinstalační modul.
Nový modul se jmenuje browse32.ocx a jeho nejnovější verze byla vytvořena 9. května. „Netušíme, proč se tvůrci malwaru rozhodli nepoužít funkci SUICIDE a místo toho poručili programu podniknout jiné kroky k vlastnímu zničení, které jsou připravené v novém modulu,“ napsali výzkumníci Symantecu.
I když nový modul nabízí obdobnou funkčnost jako SUICIDE, tedy odstranění velkého množství souborů využívaných tímto malwarem, umí i něco navíc. „Vyhledá na disku všechny související soubory, odstraní je a potom přepíše disk náhodnými znaky, aby tím ztížil získání informací o nákaze,“ uvedli výzkumníci Symantecu. „Tato komponenta obsahuje nástroj pro generování náhodných znaků použitých při přepisování. Snaží se co možná nejlépe zahladit všechny stopy nákazy.“
Při standardním odstranění souboru nejsou ve skutečnosti smazána data z disku, ale jen odkaz na ně. Uvolněné bajty jsou označeny jako volné a systém na ně může znovu zapisovat. Protože ale nejde odhadnout, za jak dlouho systém příslušná místa na disku přepíše, je možné odstraněné soubory obnovit buď zcela, nebo alespoň částečně. Proto nový modul zaplní uvolněný prostor náhodnými shluky znaků, aby podobnou rekonstrukci odstraněných souborů co nejvíce ztížil.
Virus Flame po sobě zahlazuje stopy
Autoři malwaru přikázali, aby sám sebe zničil a zahladil po sobě veškeré stopy z nakažených počítačů. Tento krok značně ztíží možnost prozkoumat virus co nejdůkladněji.
autor Tadeáš Pelech | SecurityWorld |
Související články
Antivirus pro první uživatele betaverze Windows 7 nabízí Kaspersky
Vyzkoušejte si betaverze programů Norton Internet Security 2009 a Norton AntiVirus 2009
Kaspersky Internet Security 2009 a Kaspersky Anti-Virus 2009 uvedeny na český trh
Smart Security 4 a NOD32 Antivirus 4 od Esetu jsou k dispozici pro betatesty
Microsoft slibuje bezplatný antivirus
SecurityWorld
Sedm kroků na zabezpečení Javy v podniku
Česká firma nabízí šifrování komunikace smartphonů
Proti malwaru nejlépe ochrání Internet Explorer 10
Novell nabídl sdílení dokumentů bez rizik
Dvacatero přikázání internetového zabezpečení
Tagy: malvware · virus · Flame · sebedestrukce · zahlazování stop
Linkuj
| Jagg
| Delicious
| Facebook
| vybrali.sme.sk
Komentáře