Ameaça usa o processo browse32.exe para eliminar sua existência das máquinas que foram infectadas.
(Fonte da imagem: Reprodução/KasperskyLabs)
Conhecido
por infectar centenas de computadores no Oriente Médio, o malware Flame está
provando ser ainda mais complexo do que o esperado. Além de monitorar redes,
realizar a função de keylogger e capturar áudio e imagens do computador, a
ameaça conta com linhas de código que removem qualquer traço de infecção das
máquinas afetadas.
A
descoberta foi feita pela empresa de segurança Symantec, que notou a ocorrência
do comportamento em seus computadores “honeypot”, dispositivos que são
propositalmente infectados para o estudo de malwares. O responsável por apagar
o vírus é o processo “browse32.exe”, que substitui as linhas de código do Flame
por caracteres gerados de forma totalmente aleatória.
Malware
extremamente complexo
Segundo
a companhia, o arquivo executável não foi bem sucedido em remover completamente
os sinais deixados pela ameaça. As análises realizadas indicam que o código foi
criado antes do dia 9 de maio, antes da existência do malware vir a público.
O
Flame contamina computadores se disfarçando como uma atualização do Windows,
utilizando uma brecha de segurança que foi corrigida pela Microsoft em um
pacote de emergência liberado no último final de semana. Até o momento, não há
sinais concretos sobre a origem da ameaça, porém sua complexidade indica que o
malware deve ser resultado do trabalho de algum país, e não somente de um grupo
independente de hackers.
Nenhum comentário:
Postar um comentário