Компьютерный вирус: FLAME

Август 22, 2022

Главная
Информатика
Компьютерный вирус: FLAME

Содержание

2. FLAME Компьютерный червь-троянец, поражающий компьютеры под управлением операционных систем Microsoft Windows
3. Программа, детектируемая защитными продуктами «Лаборатории Касперского» как Worm.Win32.Flame, разработана для ведения кибершпионажа.
4. Размер и загрузка 20 мегабайт исполняемого кода со всеми модулями и плагинами 20-мегабайтная программа загружается на
5. Возможности FLAME Меняет параметры компьютера Запоминает нажатые клавиши на клавиатуре Фотографирует экран монитора Записывает разговоры пользователей
6. В активом режиме Flame уничтожал важные данные, связанные с нефтяной промышленностью. Разрушительной деятельностью являлось затирание баз
7. Основные компоненты Flame Windows\System32\mssecmgr.ocx — основной модуль, в реестре HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\Authentication Packages Windows\System32\msglu32.ocx Windows\System32\nteps32.ocx Windows\System32\advnetcfg.ocx Windows\System32\soapr32.ocx
8. OCX (OLE Custom eXtension) – элементы управления ActiveX, выполняющие примерно те же функции, что и файлы
9. Flame использует библиотеки Zlib , libbz2 , PPMD для сжатия без потерь , встроенную СУБД sqlite3
10. SQLite - компактная встраиваемая - компактная встраиваемая реляционная база данных, т.е связанная СУБД.
11. Lua - скриптовый язык программирования, разработанный в подразделении Компьютерная графика Technology Group в Бразилии. Интерпретатор языка
12. Первоначально было инфицировано 1000 машин (начиная с 2010 года). Среди них правительственные организации, учебные заведения и
13. Обнаружение Был обнаружен по этому файлу ~ZFF042.TMP
14. Распространение Для распространения Flame использует уязвимость в службе диспетчера печати и через USB-устройства. Даже полностью пропатченной
15. Пострадавшие страны Иран Израиль Судан Сирия Ливан Саудовская Аравия Египет Палестина
16. Искали Wiper, а нашли FLAME В мае 2012 года после того, как месяцем ранее неизвестная вредоносная
17. Международный союз электросвязи Международная организация, определяющая рекомендации в области телекоммуникаций и радио, а также регулирующая вопросы
18. Вредоносная программа уничтожала все данные, которые бы могли быть использованы для обнаружения вируса. Данные, находящиеся на
19. Имена ряда файлов, которых “Лаборатория Касперского” сумела восстановить с помощью системного реестра начинались с ~D, что
20. На 75% исследованных дисков данные были полностью удалены. Основной акцент был сделан на уничтожения первой половины
21. В ходе исследования выяснилось, что особое внимание удалялось уничтожению PNF-файлов. PNF- precompiled INF file. Создается на
22. Как отмечают эксперты «Лаборатории Касперского», обнаруженный в апреле текущего года вредоносный код Wiper имеет очень много
23. Иран, 2009 Мировое сообщество высказало свое отношение к разработкам «мирного атома» Ираном, как к попытке создать
24. В июне 2012 года газета Washington Post со ссылкой на неназванных западных чиновников сообщила о том
25. Операция “Олимпийские игры” Операция кибервойны, направленная против иранских ядерных объектов со стороны США и, вероятно, Израиля.
26. Операция « Опера » Военная операция , проведённая ВВС Израиля для уничтожения ядерного реактора « Осирак
27. Stuxnet успешно поразил 1368 из 5000 центрифуг на заводе по обогащению урана в Натанзе, а также
29. Скачать презентацию

Слайд 2

FLAME
Компьютерный червь-троянец, поражающий компьютеры под управлением операционных систем Microsoft Windows

Слайд 3

Программа, детектируемая защитными продуктами «Лаборатории Касперского» как Worm.Win32.Flame, разработана для ведения

кибершпионажа.

Слайд 4

Размер и загрузка
20 мегабайт исполняемого кода со всеми модулями и плагинами 20-мегабайтная

программа загружается на компьютер по частям: сначала базовый компонент размером 6 МБ с несколькими основными модулями в архивированном виде, затем подгружаются остальные модули по мере необходимости. Один из самых маленьких модулей Flame состоит из 70000 строк кода на CИ с более чем 170 зашифрованными строками.

Слайд 5

Возможности FLAME
Меняет параметры компьютера
Запоминает нажатые клавиши на клавиатуре
Фотографирует экран монитора
Записывает разговоры

пользователей с помощью встроенного микрофона
Запоминает историю посещений
Удаляет информацию с жесткого диска без возможности восстановления
Создание Bluetooth-меток на зараженном компьютере

Слайд 6

В активом режиме Flame уничтожал важные данные, связанные с нефтяной промышленностью.

Разрушительной деятельностью являлось затирание баз данных поставок нефти, номеров счетов, списков клиентов и другой важной для данной отрасли информации, в результате чего Ираном был остановлен главный терминал отгрузки нефти (так как не было понятно кому и сколько выдать).

Слайд 7

$Основные компоненты Flame Windows\System32\mssecmgr.ocx — основной модуль, в реестре HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\Authentication Packages Windows\System32\msglu32.ocx Windows\System32\nteps32.ocx Windows\System32\advnetcfg.ocx Windows\System32\soapr32.ocx$

Основные компоненты Flame
Windows\System32\mssecmgr.ocx — основной модуль, в реестре HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\Authentication Packages Windows\System32\msglu32.ocx Windows\System32\nteps32.ocx Windows\System32\advnetcfg.ocx Windows\System32\soapr32.ocx

Слайд 8

OCX (OLE Custom eXtension) – элементы управления ActiveX, выполняющие примерно те же функции,

что и файлы *.dll.
ActiveX — программная платформа для определения программных компонентов, пригодных к использованию из программ, написанных на разных языках программирования.

Слайд 9

Flame использует библиотеки Zlib , libbz2 , PPMD для сжатия без

потерь , встроенную СУБД sqlite3 , виртуальную машину Lua .

Слайд 10

SQLite - компактная встраиваемая - компактная встраиваемая реляционная база данных, т.е связанная СУБД.

Слайд 11

Lua - скриптовый язык программирования, разработанный в подразделении Компьютерная графика Technology Group в

Бразилии.
Интерпретатор языка является свободно распространяемым , с открытыми исходными текстами на языке Си .

Слайд 12

Первоначально было инфицировано 1000 машин (начиная с 2010 года). Среди них

правительственные организации, учебные заведения и некоторые частные лица

Слайд 13

Обнаружение
Был обнаружен по этому файлу ~ZFF042.TMP

Слайд 14

Распространение
Для распространения Flame использует уязвимость в службе диспетчера печати и через

USB-устройства.
Даже полностью пропатченной Windows 7 не защититься от этого вируса.

Слайд 15

Пострадавшие страны
Иран
Израиль
Судан
Сирия
Ливан
Саудовская Аравия

Египет
Палестина

Слайд 16

Искали Wiper, а нашли FLAME
В мае 2012 года после того, как

месяцем ранее неизвестная вредоносная программа удалила всю информацию с компьютеров ряда промышленных объектов нефтегазовой отрасли, расположенных в ближневосточном регионе Международный союз электросвязи (МСЭ)
заказал исследование у “Лаборатории Касперского” .

Слайд 17

Международный союз электросвязи
Международная организация, определяющая рекомендации в области телекоммуникаций и

радио, а также регулирующая вопросы международного использования радиочастот. Учреждение ООН.

Слайд 18

Вредоносная программа уничтожала все данные, которые бы могли быть использованы для

обнаружения вируса. Данные, находящиеся на жестком диске, удалялись без возможности их последующего восстановления.

Слайд 19

Имена ряда файлов, которых “Лаборатория Касперского” сумела восстановить с помощью системного

реестра начинались с ~D, что схоже именами файлов, использованных в программах Duqu и Stuxnet.

Слайд 20

На 75% исследованных дисков данные были полностью удалены. Основной акцент был

сделан на уничтожения первой половины дискового пространства. Затем происходило систематическое стирание оставшихся файлов, которые отвечали за работу системы, в результате чего она переставала функционировать.

Слайд 21

В ходе исследования выяснилось, что особое внимание удалялось уничтожению PNF-файлов.
PNF-

precompiled INF file. Создается на каждый INF файл для Windows.

Слайд 22

Как отмечают эксперты «Лаборатории Касперского», обнаруженный в апреле текущего года вредоносный

код Wiper имеет очень много общего с вирусами Flame, Stuxnet и Duqu.

Слайд 23

Иран, 2009
Мировое сообщество высказало свое отношение к разработкам «мирного атома» Ираном,

как к попытке создать ядерное оружие. После того, как Иран ответил запретом продаж нефти Европейским странам, в его системах был обнаружен тот самый Flame.

Слайд 24

В июне 2012 года газета Washington Post со ссылкой на неназванных

западных чиновников сообщила о том , что шпионский вирус Flame разрабатывался совместно специалистами США и Израиля для получения информации , которая могла бы быть полезна в срыве иранской ядерной программы.

Слайд 25

Операция “Олимпийские игры”
Операция кибервойны, направленная против иранских ядерных объектов со стороны

США и, вероятно, Израиля. Начата была при президентстве Джорджа Буша в 2006 году, её проведение было ускорено при президенте Бараке Обаме, который внял совету Буша продолжать кибератаки на иранскую ядерную установку в Натанзе. Буш полагал, что данная операция была единственным способом предотвратить израильский удар по иранским ядерным объектам, подобный операции «Опера».

Слайд 26

Операция « Опера »
Военная операция , проведённая ВВС Израиля для уничтожения

ядерного реактора « Осирак » французского производства на территории Ирака в июне 1981 года .

Слайд 27

Stuxnet успешно поразил 1368 из 5000 центрифуг на заводе по обогащению

урана в Натанзе, а также сорвал сроки запуска ядерной АЭС в Бушере. Вирус обнаружен в июне 2010 года.

Компьютерный вирус: FLAME

Содержание

FLAMEКомпьютерный червь-троянец, поражающий компьютеры под управлением операционных систем Microsoft Windows

Программа, детектируемая защитными продуктами «Лаборатории Касперского» как Worm.Win32.Flame, разработана для ведения

Размер и загрузка20 мегабайт исполняемого кода со всеми модулями и плагинами 20-мегабайтная

Возможности FLAMEМеняет параметры компьютераЗапоминает нажатые клавиши на клавиатуреФотографирует экран монитораЗаписывает разговоры