Еще одна вирусная угроза – W32.Flamer

Корпорация Symantec сообщила о появлении новой угрозы – компьютерного червя W32.Flamer, беспрецедентного по сложности и объему вредоносного ПО. Используя ряд уязвимостей различных версий Microsoft Windows, он проникает на компьютеры с целью хищения информации, применяя для этого самые современные технологии перехвата и съема данных.

Статистика географического положения инфицированных систем позволяет предположить, что его первичная нацеленность – это страны Ближнего Востока, в особенности Иран, а также Ливия, Палестина и Венгрия. Немного позже червь был обнаружен в Австрии, Гонконге, ОАЭ и России.

Целью атак являются как компании, так и частные пользователи, вне зависимости от их профессиональной деятельности. Пока не ясно, какой промышленный сектор наиболее интересен злоумышленникам и какова принадлежность атакуемых лиц. Однако имеющиеся свидетельства показывают, что, вероятно, не все жертвы атакуются по одним и тем же причинам. Похоже, что многие цели интересны злоумышленникам в связи с их индивидуальной личной деятельностью без привязки к месту работы либо бизнесу.

W32.Flamer – высокоинтеллектуальная разработка, в которой сочетаются бэкдор-технологии для проникновения в компьютерные системы, троянские технологии кражи информации и функционал червей для самораспространения в сетевых средах и через сменные носители. Из уникальных технологий следует отметить перехват речевой информации через встроенный микрофон (и ее пересылку в зашифрованном виде) и использование интерфейсов Bluetooth для взаимодействия с близкорасположенными компьютерами. Он отключает установленные продукты информационной безопасности, уничтожает компьютерные файлы, делает снимки экрана, крадет информацию из документов различного типа, цифровые снимки (в том числе с данными GPS), презентации, проектные и технические схемы. Общий размер кода всех модулей достигает 20 Мбайт, что в 20 раз превосходит по размеру Stuxnet.

Как и предыдущие угрозы – Stuxnet и Duqu – столь серьезная разработка могла быть выполнена лишь четко координируемой и хорошо финансируемой командой. Его код содержит многочисленные ссылки на строку FLAME («пламя»), которые могут идентифицировать и атакующие участки кода, и принадлежность проекту с таким названием. Установить дату создания W32.Flamer пока не представляется возможным – различные модули имеют различные даты создания. Но можно утверждать, что он ведет свое скрытное существование в течение не менее двух лет.

В настоящее время антивирусные продукты компании Symantec определяют эту угрозу как W32.Flamer.