lunedì 4 giugno 2012

Flame: trovato l'antidoto per il super virus, il tool di verifica e rimozione


L'Iran è riuscito a produrre un antivirus capace di individuare e distruggere Flame, il virus informatico utilizzato come cyber-arma. Lo ha annunciato il centro di coordinamento iraniano per la lotta contro gli attacchi informatici in un comunicato pubblicato sul suo sito Web. Il Centro Maher, che risponde al ministero delle Telecomunicazioni, è "riuscito a identificare il virus Flame, quindi a produrre un anti-virus capace di identificarlo ed eliminarlo".

Questo anti-virus "è a disposizione degli organi e delle amministrazioni che ne faranno richiesta", si legge ancora nella nota, in cui non si precisa quando sarebbe stato individuato il virus nè quali danni avrebbe già fatto al Paese. Citando il centro Maher, nei giorni scorsi l'agenzia di stampa Fars ha fatto sapere che Flame è "responsabile di furto di informazioni su vasta scala avvenuto nelle ultime settimane", senza però precisare nè il tipo di dati trafugati nè dove sarebbero stati rubati.

I ricercatori della società di sicurezza russa Kaspersky Labs hanno annunciato nei giorni scorsi di aver identificato Flame come un nuovo virus da spionaggio informatico con potenzialità distruttive senza pari, che sarebbe stato utilizzato come una "cyber-arma" contro diversi Paesi non identificati. Fars ha riferito che il virus è "particolarmente attivo" in Iran, Sudan, Siria, Israel, Arabia Saudita ed Egitto.

Sempre l'azienda russa ha dichiarato che Flame sarebbe "venti volte più potente di Stuxnet", individuato nel 2010 e utilizzato in particolare contro il programma nucleare iraniano. Come già accennato da Kaspersky Labs circa Flame, il volume del suo codice e la funzionalità sono così grandi che ci vorranno diversi mesi per una completa analisi. Gli esperti stanno rivelando nelle loro continue pubblicazioni i dettagli più importanti ed interessanti delle sue funzionalità.

Esistono due varianti del malware: Worm:Win32/Flame.gen!A e Worm:Win32/Flame.gen!B. Al momento i Kaspersky Labs stanno ricevendo molte richieste di informazioni su come controllare i sistemi infettati da Flame. Naturalmente la risposta più semplice, per loro, è di consigliare l'utilizzo di Kaspersky Internet Security o Antivirus. Gli esperti sono riusciti a rilevare ed eliminare tutte le eventuali modifiche del modulo principale e i componenti aggiuntivi di Flame.

Il modulo principale di Flame è un file DLL denominato mssecmgr.ocx. Kaspersky Labs hanno scoperto due modifiche di questo modulo. La maggior parte delle macchine infette contenevano la sua versione "big", 6 Mb di dimensione, e la realizzazione e la distribuzione di moduli aggiuntivi. Le dimensioni della versione più piccola è soli 900 Kb e non contiene moduli aggiuntivi.

Dopo l'installazione, il piccolo modulo si connette a uno dei server C & C e tenta di scaricare e installare i restanti componenti da lì. Mssecmgr può essere chiamato in diversi nomi nelle macchine realmente infette, a seconda del metodo di infezione e lo stato interno corrente del malware (installazione, la replica, upgrade), ad esempio, wavesup3.drv, ~zff042.ocx, msdclr64.ocx, ecc.


La prima attivazione di questo file è iniziata da una delle caratteristiche esterne - sia gli strumenti di Windows WMI utilizzando un file MOF se viene utilizzato l'exploit MS10-061, o utilizzando un file BAT:
s1 = new ActiveXObject ("WScript.Shell");
s1.Run ("% SYSTEMROOT% \ \ system32 \ \ rundll32.exe msdclr64.ocx, DDEnumCallback");
(codice sorgente del file MOF, svchostevt.mof)

Quando viene attivato, mssecmgr si registra come un pacchetto di autenticazione personalizzato nel Registro di Windows:


HKLM_SYSTEM \ CurrentControlSet \ Control \ Lsa
pacchetti di autenticazione = mssecmgr.ocx [aggiunto alle voci già esistenti]

Al successivo avvio del sistema, il modulo viene caricato automaticamente dal sistema operativo. Dopo aver aggiornato il registro di Windows, mssecmgr estrae tutti i moduli aggiuntivi che sono presenti nella sezione delle risorse crittografati e compressi (risorsa "146") e li installa. La risorsa è un dizionario che contiene le opzioni di configurazione per i moduli mssecmgr e altri, gli stessi moduli (file DLL) e i parametri che devono essere passati a questi moduli da caricare in modo corretto, vale a dire, chiavi di decrittazione.

Al termine dell'installazione, mssecmgr carica i moduli disponibili e inizia il thread di esecuzione ed implementano un canale al server C & C e Lua interpreter host, e altre caratteristiche - a seconda della configurazione. La funzionalità del modulo è divisa in diverse "unità" che hanno spazi dei nomi diversi nella risorsa di configurazione e hanno nomi distinti nei messaggi di log, che sono ampiamente utilizzati in tutto il codice. I Kaspersky Labs stanno analizzando i moduli aggiuntivi e forniranno ulteriori informazioni circa la loro funzionalità in post a venire.

I Kaspersky Labs hanno verificato le informazioni, come suggerito nei commenti al loro blogpost in merito a una possibile relazione con FLAME (Flexible Lightweight Active Measurement Environment) software dal Brasile. Nonostante alcune somiglianze, gli esperti pensano che questo software non è correlato in quanto serve diversi obiettivi. Oltre al motore LUA, il nucleo di comunicazione in FLAME è il protocollo XMPP, che non viene utilizzato nel malware Flame.

Gli autori potrebbero essere stati ispirati dal progetto FLAME e re-implementata un'architettura simile - solo per l'obiettivo diverso, o tutto questo è solo una coincidenza. I Kapersky Labs non hanno alcuna altra ragione di pensare che in qualche modo sia legato al malware Flame. I laboratori della società di sicurezza Bit Defender hanno realizzato un tool di verifica e rimozione del malware Flame. Scaricate il removal tool per entrambe le varianti del malware per sistemi a 32-bit  o 64-bit. Se siete già protetti da una soluzione di sicurezza Bitdefender, non è necessario eseguire lo strumento di rimozione.

Nessun commento:

Posta un commento