Flame se está autodestruyendo

Los responsables de Flame han creado un nuevo módulo que lleva al troyano a autodestruirse.

Symantec ha publicado un nuevo análisis según el cual el virus Flame/Flamer está distribuyendo un módulo que activa la autodestrucción total del malware. En informática forense, sto es indicativo de que los creadores del virus intentan borrar sus huellas. Aunque diversas empresas de seguridad informática han especulado que una organización estatal puso en circulación a Flame, lo cierto es que no hay pruebas que sustenten tal versión.

Según Symantec, los PC infectados contactan sistemáticamente sus preconfigurados servidores de comando y control, con el fin de recibir nuevas instrucciones y módulos. La mayor parte de tales servidores y dominios han sido clausurados. Sin embargo, algunos servidores que continúan activos han enviado un módulo denominado ”browse32.ocx” que activa un mecanismo de autodestrucción. Symantec califica el módulo de ”uninstaller” o desinstalador.

El módulo contiene una larga lista de archivos y carpetas utilizadas por Flame, que luego detecta y borra. Además, con el fin de impedir que los archivos sean recuperados, el módulo los sobreescribe con caracteres aleatorios.

Symantec explica que el módulo fue creado el 9 de mayo, poco después de publicarse los primeros informes sobre Flame. El troyano contiene además otro módulo, con la misma funcionalidad de ”browse32.ocx”, que tiene el elocuente nombre ”Suicide”.

Según Kaspersky Lab, Flame tiene la capacidad de grabar sonidos utilizando el micrófono del PC, y hacer capturas de pantalla. Toda esta información es enviada a los servidores de comando y control.

Entre los expertos en seguridad informática hay discrepancia sobre la complejidad y relevancia histórica de Flame. Mientras algunas empresas de seguridad lo califican del peor malware de la historia, otras fuentes recalcan que el número de incidencias es muy reducido y que los sistemas afectados se concentran en el Medio Oriente. El código de Flame es 20 veces mayor al de Stuxnet, lo que se debe a que el malware arrastra una pesada carga de bibliotecas de programas.


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022