A praga se destaca pela sua capacidade de se camuflar no sistema, driblar softwares de segurança e ter sido encontrada apenas em alguns poucos locais, principalmente no Irã.
A existência do vírus foi divulgada separadamente nesta segunda-feira (28) pelas fabricantes de antivírus Kaspersky Lab e McAfee, pelo Centro de Respostas a Incidentes de Segurança Nacional do Irã (Maher) e pelo Laboratório de Criptografia e Segurança de Sistemas (Crysis) da Universidade de Tecnologia e Economia de Budapeste, na Hungria.
Os laboratórios deram nomes diferentes para a praga: a Kaspersky chamou-a de "Flame", os pesquisadores iranianos de "Flamer" e os especialistas do Crysis de "Skywiper" - nome também adotado pela McAfee.
No entanto, as análises indicam que se trata do mesmo programa malicioso. O vírus é descrito como extenso, tendo cerca de 20MB de tamanho, e "pode levar vários anos para ser analisado", segundo a Kaspersky. A praga tem diversos "módulos", cada um deles com uma função específica, que pode ser o roubo de dados ou a contaminação de outros sistemas, que pode ocorrer por meio de drives USB e, possivelmente, por compartilhamentos de rede.
Um dos módulos "menores", segundo a McAfee, tem mais de 70 mil linhas de código.
O roubo de dados pode ocorrer por meio de capturas de tela (screenshots), ativadas só quando janelas específicas estão na tela - como uma conversa de mensagem instantânea ou programa de e-mail. A praga também consegue ativar um microfone ligado ao computador, gravar as conversas, compactá-las e enviar aos responsáveis que, segundo a Kaspersky, usam 80 endereços de internet diferentes para comandar a praga.
Ataque silencioso
A estimativa mais conservadora é a de que o Flame estaria ativo desde agosto de 2010 e, até hoje, não havia sido detectado por nenhum antivírus. As datas dos arquivos usados foram todas trocadas, indicando anos falsos, como 1993 ou 1995.
De acordo com o laboratório Crysis, há indícios de que o vírus estaria ativo já em 2007. Os alvos são bastante específicos - ou seja, não haveria interesse, por parte dos criadores do Flame, de disseminar a praga.
Para não ser detectado, o vírus identifica a presença de 100 softwares de segurança e muda seu comportamento para que o programa de proteção não suspeite de nenhum comportamento anormal. A praga também não se espalha sem antes receber um comando do servidor de controle e ainda não está claro como ela chegou até os sistemas infectados.
A sofisticação, o número restrito de alvos e a ausência de um interesse comercial claro indicam que o Flame teria sido patrocinado por um governo, de acordo com os especialistas, e seria, portanto, uma arma de ciberespionagem.
Irã é o mais atacado
De acordo com dados da Kaspersky Lab, o vírus foi encontrado principalmente no Irã, com outros focos de infecção presentes em Israel, Sudão, Síria, Líbano, Arábia Saudita e Egito. O Irã é o mais atacado, com 189 ocorrências do vírus. No Egito, o menos atacado da lista da Kaspersky, foram 5 incidentes de contaminação.
O Irã também foi o alvo do Stuxnet, outro vírus conhecido por sua sofisticação e pela capacidade de sabotar usinas nucleares. No entanto, os especialistas não acreditam que exista qualquer relação entre o Flame e o Stuxnet. Não foi encontrada no Flame nenhuma capacidade de interferir com sistemas industriais.
De acordo com a Kaspersky, o Flame foi encontrado pela empresa quando especialistas tentavam descobrir informações sobre outra praga disseminada no Oriente Médio. O código, chamado de "Wiper", seria capaz de eliminar completamente todos os dados de um computador. Até o momento, porém, não há nenhuma ligação estabelecida entre o Wiper e o Flame/Skywiper e, segundo a Kaspersky, o Wiper ainda "é desconhecido".
Mário Luiz (Carioca) com Click PB
Nenhum comentário:
Postar um comentário