[HVA News] – Khả năng tự tiêu hủy, xóa dấu vết của Flame


Nguồn: http://www.hvaonline.net/hvaonline/posts/list/42616.hva

Những người đứng đằng sau Flame có thể dễ dàng xóa sạch dấu vết mà Flame để lại trên các hệ thống bị lây nhiễm. Kết luận được đưa ra sau khi hãng bảo mật Symantec đã nhận thấy rằng những kẻ tấn công có thể sử dụng các máy chủ C&C (command-and-control) để loại bỏ hoàn toàn Flame khỏi máy tính của nạn nhân.

Theo một bài viết trên blog [1] của bộ phận Ứng phó An ninh của Symantec vào hôm qua, các máy chủ C&C có thể gửi một tập tin có tên Browse32.ocx tới các máy mục tiêu để gỡ bỏ siêu mã độc Flame. Sau đó tập tin này sẽ tìm kiếm trên máy bị nhiễm tất cả các tập tin mà Flame sử dụng, loại bỏ chúng và thậm chí ghi đè lên vị trí lưu trữ chúng trên ổ đĩa bằng các bit thông tin và các ký tự ngẫu nhiên để che đi dấu vết.

Qua phân tích của Symantec thì module này (tập tin Browse32.ocx) chứa 2 mã khai thác khác nhau: một là EnableBrowser, nhằm khởi tạo module và StartBrowse, nhằm xóa các tập tin do Flame tạo ra. Symantec cũng bổ sung thêm rằng module này được tạo ra vào ngày 9/5 và trông giống như SUICIDE, một module được tìm thấy trước đó trong mã chương trình của Flame.

Flame được phát hiện và được tiết lộ bởi chính phủ Iran và các công ty phương Tây cách đây 2 tuần. Con sâu này nhanh chóng gây sự chú ý hơn nhiều Stuxnet và Duqu. Dường như nó đã tồn tại, ẩn mình trong nhiều năm và không được biết đến chỉ tới khi người ta phát giác rằng tác giả của Flame đã sử dụng tấn công MD5 hash collision để giả mạo chứng chỉ số như thể do Microsoft phát hành rồi ký số lên các bản cập nhật giả mạo (thực ra là bản sao của Flame) và gửi tới các hệ thống Windows.

manthang – HVA News
(Theo Threatpost)

Tham khảo:
[0] http://threatpost.com/en_us/blogs/attackers-can-use-self-destruct-feature-kill-flame-060812
[1] http://www.symantec.com/connect/blogs/flamer-urgent-suicide

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s