Analysen zur Flame/Flamer Malware

Flame: Superwaffe im Cyberkrieg

Seite: 2/4

Firmen zum Thema

So arbeitet Flame

Flame kann, allgemein gesagt, nicht direkt der Kategorie Virus oder Wurm zugeordnet werden, es ist vielmehr als hochprofessionelles Baukastensystem zum Angriff von Computersystemen zu verstehen. So vereint dieser Baukasten die maßgeblichen Funktionen verschiedenster Schadprogramme, wie z.B. Viren, Würmer, Backdoors oder Trojaner. Flame ist in der Lage Daten in Echtzeit auszuspionieren oder zu verändern sowie unbemerkt weitere Module nachzuladen.

Kaspersky machte bisher keine Angaben zum Zielland des Schädlings jedoch konnte die Experten infizierte Systeme in Ländern wie Iran, Sudan, Syrien, Libanon, Saudi Arabien, Ägypten sowie auch Israel und die Palästinensischen Gebiete ausfindig machen.

Bildergalerie

Die Spionagefunktion des Schädlings erinnerst stark an Duqu, daher ist die Frage zulässig, ob es sich um einen ähnlichen Schädling handelt. Während Duqu aber eher für gezielte und klein ausgelegte Spionagezwecke entwickelt wurde, so scheint Flame es eher auf tausende von Zielen abzusehen. Duqu befiel eher 50 Ziele. Die Ziele scheinen auch breiter gefächert zu sein, so enthalten diese Akademien, Privatunternehmen oder spezielle Personen.

So verbreitet sich Flame

Der Iranische Cert konnte erste Angaben zur Verbreitung von Flame machen: Der Schädling verbreite sich übers Netzwerk und über Wechselmedien und erhält von wenigstens 10 Command and Control Servern Steuerbefehle über SSH und HTTPS. Der Schädling befällt Windows XP, Vista und 7 und enthält die Möglichkeiten Netzwerke oder Systeme zu scannen und Passwörter zu extrahieren. Er biete auch die Möglichkeit Eventabhängig Audioaufnahmen zu machen und Screenshots durchzuführen.

Das Iranische CERT kommt zudem zu der Aussage, dass bis Ende des Monats Mai der Schädling es geschafft hat unentdeckt von sämtlichen kommerziellen Antivirenlösungen zu bleiben. So wurde durch den iranischen CERT der Schädling gegen 43 AV Hersteller getestet und blieb jeweils unentdeckt.

Kaspersky machte zudem noch die Beobachtung, dass die Anzahl infizierte System künstlich auf einer bestimmten Höhe gehalten wird. So macht es den Eindruck einer sequentiellen Vorgehensweise. Es werden eine bestimmte Zahl von Systemen infiziert und die daraus gelieferten Daten analysiert, danach wird Flame von den uninteressanten Systemen wieder entfernt und die nächste Reihe von Systemen wird infiziert.

(ID:34017340)