Эксперты "Лаборатории Касперского" сообщили об обнаружении "самой сложной" вредоносной программы Flame. Вновь обнаруженный троян имеет трудную для анализа модульную структуру и предназначен для шпионажа.

"Лаборатория Касперского" сообщила об обнаружении в странах Ближнего Востока вредоносной программы Flame, которую назвала "возможно, самым сложным" вирусом в истории.

По сообщению "Лаборатории", Flame состоит из пакета модулей, который, будучи полностью развернутым, занимает около 20 МБ. В этой связи он является трудно поддающейся анализу вредоносной программой. Большой размер вирусу придают множество включенных в него библиотек, например, для сжатия (ZLib, libbz2, PPMD) и работы с базами данных (sqlite3). Кроме того, Flame включает в себя виртуальную машину LUA.

Как предполагают в "Лаборатории Касперского", Flame распространялся посредством целенаправленных атак, однако источник его распространения не установлен.

Судя по всему, основная задача Flame – кибершпионаж. После своего внедрения в систему Flame способен проводить комплекс действий, например, перехват сетевого трафика, снятие скриншотов, запись аудиоразговоров, перехват клавиатуры и т.п. Все похищенные данные доступны для операторов трояна через командные серверы.

Функциональность Flame может быть расширена путем подгрузки дополнительных модулей, которых известно около 20. Как сообщают эксперты "Лаборатории Касперского", сейчас известно около 600 инцидентов с участием Flame.

С учетом сложности разработки можно предположить, что за созданием Flame стоят правительственные структуры какого-либо государства, однако конкретное место происхождения трояна в "Касперском" не называют.

Интересно, что ареал распространения Flame включает в себя помимо обычных Ирана, Египта, Ливана, Палестины, Сирии, Судана также традиционно дружественный США Израиль и Саудовскую Аравию.

Главный антивирусный аналитик "Лаборатории Касперского" Александр Гостев говорит, что в трояне Flame можно усмотреть использование схожих методов инфицирования и уязвимостей со знаменитыми червями Stuxnet и Duqu, которые были использованы для похищения информации с промышленных объектов Ирана.

Однако в отличие от этих вредоносных программ во Flame не применялась единая платформа, использованная в Duqu и Stuxnet. Схожесть методик можно объяснить тем, что как раз в 2010 г., к которому относятся первые следы работы Flame, эта информация начала публиковаться в открытых источниках, откуда ее могли почерпнуть его создатели. Впрочем, не исключает Гостев, Flame может быть параллельным проектом Duqu и Stuxnet.

Flame, в отличие от Duqu и Stuxnet, атакует не только компьютеры энергетической промышленности, но и ПК конечных пользователей, госучреждений и образовательных организаций.