«Лаборатория Касперского» разглядела троян Flame в модификациях Stuxnet

11/06/2012 19:01

Ранее, большинство экспертов компьютерной безопасности утверждали, что троян Flame (W32.Flamer) не похож ни на один из ранее известных. Считалось, что именно этот факт в дополнение к его многомодульности осложнил обнаружение Flame антивирусными программами. По масштабам угроз и сложности программного кода троян Flame ставится в один ряд с такими вредоносами как Stuxnet и Duqu, но отличия в используемых методах и функциях позволяли считать их результатом работы различных программистов. Однако изучение специалистами вирусной базы «Лаборатории Касперского» обнаружило некоторые сходства с ранее известными троянами. В поле зрения экспертов попал троян под названием Tocy (Trojan-Spy.Win32.Tocy), который эвристическим алгоритмом был ранее отнесен к семейству Stuxnet (версии 2009 года) из-за одного из блоков ресурсов. Ресурс представлял собой зашифрованный файл "atmpsvcn.ocx", который в «Лаборатории Касперского» окрестили прототипом основного модуля "mssecmgr.ocx" трояна Flame. Более детальное изучение этого ресурса выявило несколько функций, похожих на те, что используются в трояне Flame. Кроме функций, экспертам показались похожими и названия некоторых мьютексов ("TH_POOL_SHD_PQOMGMN_%dSYNCMTX" и "TH_POOL_SHD_MTX_GMN94XQ_%d"), а также названия, создаваемых при установке, временных файлов ("dat3C.tmp" и "dat3a.tmp"). Дополнительным аргументом в пользу схожести этих двух экземпляров стало использование уязвимости CVE-2010-2568, которая на момент распространения трояна не была известна публично. Однако некоторые эксперты ставят под сомнение результаты исследования «Лаборатории Касперского», поскольку приведенные функции могли быть взяты из общедоступных источников, а эксплойты на определенные уязвимости приобретены на "черном" рынке у одного поставщика. Кроме того, в противовес общей, по словам «Лаборатории Касперского», уязвимости CVE-2010-2568 выступает исследование специалистов Symantec, которое выявило более элегантное использование этой уязвимости через символьные ссылки. Использование такого подхода во Flame позволило скрыть содержимое папки с трояном, а при попытке открытия этого каталога произвести установку трояна с использованием специально сформированного LNK-файла. Такое использование уязвимости CVE-2010-2568 ранее не встречалось исследователям.
Источник