Trojaner computer Virus

Flamme beinhaltet 20 Plug-Ins, individuelle Software-Module, die ausgewechselt werden können, um den Attackern die gewünschten Funktionen zur VerfÃ?gung zu stellen. Alle Module sind austauschbar. Der Schöpfer von Flamme sucht nicht nach schnellem Bargeld - seine Malware ist nicht auf Online-Banking oder andere gewinnbringende Webanwendungen zielt. Flamme kann von infizierten Computern aus mit internen Mikrofonen arbeiten, um z. B. Anrufe in Büroräumen oder VoIP-Telefonate aufzeichnen.

Diese Malware erfasst Bildschirmfotos von Bildschirminhalten - besonders viele Bildschirmfotos werden gemacht, wenn gewisse Programme ausgeführt werden, z.B. Chatter. Kaspersky -Experten kommen zu dem Schluss, dass es sich bei Flamme um einen allgemeinen Satz von Werkzeugen zur Cyber-Spionage handelt - aber auch um Modulen für spezielle Attacken und spezielle Targets. Auf jedenfall hat das Softwareprogramm eine Rücktür, die das Umladen von Bauteilen ermöglicht - die Flamme ist prinzipiell eine Mehrzweckwaffe.

Gemessen an der Verteilung richtet sich Flamme vor allem an Computer in Ländern des Mittleren Ostens und Nordafrikas: Iran, Sudan, Syrien, Saudi-Arabien, Ägypten, Libanon und das Westjordanland sind laut Kazpersky davon betroffen. 2. Und wie breitet sich die Flamme aus? Der Virus kann bei zielgerichteten Attacken in das Netzwerk und auf einzelne Computer gelangen: Eine auf einen bestimmten Adressaten abgestimmte E-Mail fordert ihn auf, eine Webseite zu besuchen oder eine angefügte E-Mail zu lesen.

Die Experten von Caspersky haben noch nicht verstanden, wie die erste Flammeninfektion entsteht. Sobald sie auf einem Zielcomputer aktiviert sind, können die Flammenkommandanten mehrere Modulen neu laden, um weitere Computer zu infizieren: Ansteckung von angeschlossenen USB-Sticks: Die von Caspersky geprüfte Version Flamme enthält dafür zwei Modul. Ein Modul verwendet einen Angriffspfad, den Kasperksy-Experten bisher nur bei der Firma Stuxnet beobachten konnten.

So wie Stuxnet verwendet Flamme eine Sicherheitslöcher, die es erlaubt, andere Computer über Netzwerkdrucker zu infizieren. Wie Kaspersky meldet, wurde ein aktuelles Windows 7-System über ein örtliches Netz mit Flamme infiltriert. Man vermutet daher, dass Flamme eine bisher unbekannte Schwachstelle (eine so genannte Zero-Day-Schwachstelle) ausnutzt.

Die Flamme breitet sich auf kontrollierte Weise aus; laut Caspersky muss ein Kommandant zuerst den Befehl erteilen, einen anderen Computer mit einer Flammeninstallation zu infizieren, wobei jede Malwareinstallation die Zahl der von ihr ausgelösten Attacken zählen soll; laut Caspersky ist die Zahl begrenzt. Auf welchen Computern sind sie infiziert? Insgesamt schätzt er, dass etwa 1000 Computer von den verschiedenen Flammenvarianten betroffen sind - aber das ist eine Projektion.

Der Grundsatz lautet: Aus der Zahl der infizierten Computer unter den eigenen Kunden schöpft das Unternehmen die Zahl auf den restlichen Teil der Computer. "Es ist jedoch offensichtlich, dass die Virusopfer in erster Linie im Mittleren Orient leben. In den letzten Monaten könnte eine Gruppe von Forschern der Budapester TU eine ähnliche Malware-Variante neben Caspersky auswerten.

Es ist für die Budapest Group "offensichtlich", dass die Malware, die sie den Namen KyWIper trägt, "identisch" mit der Malwareflamme ist. Den genauen Zeitpunkt der Geburt von Flamme kann man im Moment nur schwer nachvollziehen. Auf den ersten Blick scheint es, dass verschiedene Bausteine der komplizierten Malware in Jahren entstanden sind. Kasperskys erste Virenspuren in der Wildnis, die er auf den Computern seiner eigenen Kunden fand, stammen aus dem Jahr 2010.

Ein Computer in Europa war damals davon betroffen, ein anderer in Dubai im Mai 2008. Laut Angaben von Google wurde dieser und ein anderer Name im Zusammenhang mit Flamme zum ersten Mal am ersten Mal am 1. Mai 2010 auf einem Computer im Iran entdeckt. Caspersky geht davon aus, dass Flamme von " February bis March 2010 " war.

Nach Überzeugung der Wissenschaftler ist die Arbeit an dem Virus noch nicht abgeschlossen: "Seine Entwickler nehmen ständig Änderungen in mehreren Bausteinen vor, verwenden aber nach wie vor die gleiche Struktur und die selben Namen der Dateien. Bestehen Anschlüsse zu Stoxnet? Flame besteht auf den ersten Blick nicht aus dem selben Bausatz wie Duqu und Duxnet.

Das von den Kaspersky-Forschern Tilded genannte System, auf dem die beiden Unternehmen beruhen, ist nicht Teil des Erbguts von Flamme. "Flamme und Stupnet/Duq wurden wahrscheinlich von zwei verschiedenen Gruppierungen entwickelt", schlussfolgern die Kaspersky-Forscher. Flamme verwendete eine Infektions-Methode und eine gewisse Sicherheitslöcher, die auch in der Vergangenheit bei Tuxnet und Dirqu verwendet wurden.

Es ist auch möglich, dass Flamme nach der Entwicklung von Stupnet entstanden ist und dass die Flammenautoren Angriffsrouten und Sicherheitslöcher aus Stuxnet-Publikationen übernahmen. Es scheint bei uns jedoch so, als ob Flamme von einem ebenso kompetenten Expertenteam wie Duqu und Stoxnet gebaut wurde. Im iranischen Computer-Sicherheitszentrum gibt es eine Beziehung zwischen Duqu, Duq und Flamme.

Den Iranern zufolge scheint es "eine nahe Verwandtschaft zu den angestrebten Angriffen von Duqu und Stuxnet" zu bestehen, die sich aus "den Vereinbarungen, nach denen die Namen der Dateien zugewiesen wurden, den Reproduktionsmethoden, der Komplexität, dem genauen Targeting und der Superfunktionalität der Malware" ergibt. Die Größe von Stoxnet und Flamme ist sehr unterschiedlich: Alle Flammenkomponenten zusammen benötigen 20 Megabyte Speicherplatz auf der Festplatte, während Stoxnet leistungsstark, aber äußerst dünn war: Der Virus, der in der Aufbereitungsanlage des Irans in Natan mehrere hundert Uranschleudern zerstört hat, war 500 Kilobytes gering.

"Wired " veranschlägt den Kaspersky Forscher Gostev und sagt, dass es wahrscheinlich Jahre dauert, den gesamten Flammencode zu analysieren: "Wir haben sechs Monate benötigt, um Stoxnet zu untersuchen.