Récemment découvert par Kaspersky, Flame est le plus puissant et sophistiqué malware jamais connu, à tel point que Symantec et Kaspersky le suspectent d’avoir été appuyé par un gouvernement …
Voici un résumé de ce que j’ai pût trouver concernant Flame
Nom : Worm.Win32.Flame (Flame, Flamer ou même sKyWIper)
Effets : étrange suppression de données
Héritage : Trojan, Vers, Backdoor
Caractéristiques communes avec : Duqu et Stuxnet
Poids : 20mo
Possibilités d’actions (à distance évidemment):
– interception du clavier (keylogger)
– captures d’écran
– enregistrement de conversations audio (via un micro)
– écoute du réseau local
– connections aux messageries instantanées
Les données sont ensuite envoyées aux serveurs de contrôle à travers un canal chiffré SSL
Bibliothèques utilisées pour sa conception :
– zlib, libbz2 et ppmd pour la compression
– SQLite 3
– machine virtuelle en langage de script LUA
Language : LUA
Mais il utilise aussi :
– les autoruns en .INF (Clés USB)
– Script WMI (Imprimantes)
– Tâches distantes
– Contrôleur de domaine
– Batch (Commande Windows)
– SSH
Date de conception : 2010 (d’après Kaspersky)
Fichiers cible :
- advnetcfg.ocx
- ccalc32.sys
- mssecmgr.sys
- msglu32.ocx
- boot32drv.sys
- nteps32.ocx
Référence registre :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\”Authentication Packages” = “mssecmgr.ocx”
Références texte : “Flame”, “JIMMY”
Zones infectées :
Possibilités et sources d’infections :
Conception (Symantec) :
Source images : Kaspersky / Symantec
Source contenu : PCInpact / ZDnet