ESET: специалисты ESET первыми восстановили архитектуру червя Flame
8, август 2012
Компания ESET , международный разработчик антивирусного ПО, эксперт в области защиты от киберпреступности и компьютерных угроз, сообщает о том, что российские вирусные аналитики ESET первыми восстановили архитектуру вредоносной программы Flame .
На сегодняшний день Flame является наиболее сложным вредоносным программным обеспечением в части реализации и функционала. Основная задача данного злонамеренного ПО – кибершпионаж. Благодаря Flame злоумышленники могут получать всю необходимую конфиденциальную информацию и совершать атаки.
Специалисты Центра вирусных исследований и аналитики ESET провели детальный анализ кода киберугрозы Flame и первыми восстановили ее архитектуру. Кроме того, в ходе исследования была восстановлена структура внутренней базы данных Flame, которая создается в процессе заражения системы, и где хранится информация о процессе атаки на конкретную цель и ее результатах.
По данным компании ESET , при разработке червя Flame использовались некоторые патерны проектирования, которые часто применяют в процессе реализации больших проектов. Это говорит о том, что данное вредоносное ПО разрабатывала отдельная команда высоко квалифицированных программистов с навыками промышленного программирования, которая следовала определенному техническому заданию. По оценкам специалистов ESET , на разработку и тестирование Flame могло уйти не менее года, при наличии проектной команды в 10-15 человек .
В ходе исследования была также выявлена взаимосвязь между программными кодами Stuxnet/Duqu и Flame: при детальном анализе обнаружено сходство в используемых концепциях и архитектурных подходах. «Реконструировать код вредоносной программы Flame довольно не просто, так как она имеет громоздкую объектно-ориентированную архитектуру, — комментирует Александр Матросов , директор Центра вирусных исследований и аналитики ESET . — Используя методологии обратного анализа, которые мы уже успешно опробовали в процессе исследования Stuxnet и Duqu, нам удалось восстановить архитектуру вредоносной программы Flame».
На сегодняшний день антивирусные решения ESET NOD32 успешно обнаруживают все известные модификации червя Flame. Эвристические технологии, применяемые во всех решениях ESET , позволяют детектировать угрозы, еще не занесенные в базу вирусных сигнатур. С дополнительной технической информацией о Flame можно знакомиться в англоязычном блоге компании ESET :
http://blog.eset.com/2012/08/02/flamer-analysis-framework-reconstruction
http://blog.eset.com/2012/07/20/flame-in-depth-code-analysis-of-mssecmgr-ocx
|