mboost-dp1
SXC - gusmolina
Knude (2) skrev:Hvad er flame, hvad gjorde/gør den?
En af de mest avancered viruser de har fundet. 20 megabyte, 5 lags enkryption med forskellige enkryptions metoder. skrevet i moduler som den kunne loaded og kører alt efter hvad der var brug for. Installere SQLLite for at logge keys og skærme og passwords (og kamera og mikrofoner) i SQL databasen. Store dele af den skrevet i LUA hvilket vil sige den også bruge en LUA fortolker for at køre sproget. Mange komponenter var blevet digitalt signeret så det så ud som de var lavet af Microsoft.
Skrevet på en måde så den specifik udgik mange af de store virus scannere, den har været der ude i mange år uden at nogen har opdage den.
Dens primære opgave har været at spionere og sende information tilbage, men da den er lavet i moduler kan dem som har lavet dem nemt lave et nyt modul og sprede det så den kan ændres til andre specifikke mål.
Kaspersky og andre virus firmaer siger den er så kompliceret at det må være en hel afdeling af folk som har arbejdet på den, muligvis forskellige grupper som har arbejdet på forskellige moduler.
^
20 megabyte er ikke nødvendigvis en "god" ting.
Den benyttede sig ikke af "5 lags enkryption", men havde 5 indbyggede algoritmer (som den brugte hver for sig), hvilket er meget normalt for malware.
Screenshots af skærmen, keylogger og styring af webcam/mic er også enormt normal i "RAT's" (malware).
"Moduler" er heller ingen ny ting inden for malware-markedet (LUA moduler er, men det er lidt so so)
"Undgå AV programmer" er bestemt heller ikke en ny eller unik feature
Det spændende ved den var at den benyttede sig af nogle af de samme exploits som Stuxnet og at dens sprede modul var slået fra (atypisk for malware lavet af alm. kriminelle). Og så self. at den var signeret sig af et "fake" (ægte) cert fra MS (like Stuxnet, men meget unikt i forhold til "normalt" malware).
Men ellers er den lidt "overvurderet". Der findes skam massere af enormt avanceret malware som bestemt ikke er "state sponsored" (og nogle af de ting som AV industrien får til at lyde som unikke og enestående, er bestemt set før). Ikke at jeg betvivler at Flame er lavet af USA/gov, men SÅ enestående er den altså heller ikke.
20 megabyte er ikke nødvendigvis en "god" ting.
Den benyttede sig ikke af "5 lags enkryption", men havde 5 indbyggede algoritmer (som den brugte hver for sig), hvilket er meget normalt for malware.
Screenshots af skærmen, keylogger og styring af webcam/mic er også enormt normal i "RAT's" (malware).
"Moduler" er heller ingen ny ting inden for malware-markedet (LUA moduler er, men det er lidt so so)
"Undgå AV programmer" er bestemt heller ikke en ny eller unik feature
Det spændende ved den var at den benyttede sig af nogle af de samme exploits som Stuxnet og at dens sprede modul var slået fra (atypisk for malware lavet af alm. kriminelle). Og så self. at den var signeret sig af et "fake" (ægte) cert fra MS (like Stuxnet, men meget unikt i forhold til "normalt" malware).
Men ellers er den lidt "overvurderet". Der findes skam massere af enormt avanceret malware som bestemt ikke er "state sponsored" (og nogle af de ting som AV industrien får til at lyde som unikke og enestående, er bestemt set før). Ikke at jeg betvivler at Flame er lavet af USA/gov, men SÅ enestående er den altså heller ikke.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund