image

Iran waarschuwt westen voor Flamer-worm *update*

maandag 28 mei 2012, 13:47 door Redactie, 9 reacties

De Iraanse autoriteiten beweren dat het land na Stuxnet en Duqu door een nieuwe geraffineerde worm is aangevallen, genaamd Flamer. De naam is afkomstig van één van de modules die in de malware werd aangetroffen. Volgens het Iraanse CERTCC is Flamer een platform dat voor verschillende doeleinden modules kan installeren. Een test door de Iraanse autoriteiten bij VirusTotal.com zou uitwijzen dat geen één van de 43 virusscanners de malware herkende.

Flamer verspreidt zich via USB-sticks en gedeelde netwerkschijven, kan netwerkverkeer analyseren en lijsten met wachtwoorden verzamelen, de inhoud van besmette computers doorzoeken, via de microfoon omgevingsgeluiden opnemen en in het geval van bepaalde processen of geopende vensters screenshots maken.

Verwijdertool
De malware infecteert zowel Windows XP, Vista als Windows 7-systemen. Aan de hand van de complexiteit, manier van verspreiden en gerichtheid van de aanval, houdt die volgens de Iraanse autoriteiten nauw verband met de aanvallen van Stuxnet.

Inmiddels zouden Iraanse wetenschappers een verwijdertool voor de malware hebben ontwikkeld. Onlangs liet Iran nog weten dat het geen buitenlandse beveiligingssoftware meer zal gebruiken, maar een eigen virusscanner gaat ontwikkelen.

Update 16:18
Kaspersky Lab heeft inmiddels een analyse van Flamer online gezet en zegt dat de malware 20 keer groter dan Stuxnet is en over verschillende aanvals- en cyberspionage eigenschappen beschikt. De worm zou echter geen grote overeenkomsten met Stuxnet of Duqu hebben en is niet op hetzelfde 'tilded platform' ontwikkeld.

Er zijn mogelijk aanwijzingen dat de makers van Flame wel toegang hadden tot de technologie die in het Stuxnet-project werd gebruikt. Dit is echter niet zeker en volgens analist Aleks Gostev valt niet uit te sluiten dat Flame pas ontwikkeld is nadat details over Stuxnet bekend zijn geworden.

Hoe Flame op precies besmette machines terechtkomt is nog onbekend. Wel is duidelijk dat de malware het spooler service-lek in Windows gebruikt, waardoor ook Stuxnet zich wist te verspreiden. Daarnaast ligt het aantal slachtoffers ook veel hogere. Wereldwijd zouden duizenden slachtoffers zijn gemaakt, terwijl Duqu minder dan 50 instellingen infiltreerde.

Reacties (9)
28-05-2012, 13:58 door Anoniem
Het westen denkt echt dat ze zo de iraanse atoomprogramma kunnen stoppen!
28-05-2012, 14:08 door quikfit
Dat is vriendelijk.....
28-05-2012, 15:02 door [Account Verwijderd]
[Verwijderd]
28-05-2012, 15:29 door Anoniem
Ondertussen staat er een uitgebreid en mijns inziens interessant stuk over op securelist (van kaspersky): http://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers
28-05-2012, 17:47 door Anoniem
Hardware uit China zeker?

https://secure.security.nl/artikel/41664/1/Geheime_backdoor_in_Chinese_hardware_ontdekt.html
28-05-2012, 21:16 door Anoniem
Door Anoniem: Het westen denkt echt dat ze zo de iraanse atoomprogramma kunnen stoppen!

Nee natuurlijk niet, maar wel dat ze het kunnen vertragen.
28-05-2012, 21:42 door Anoniem
Uitgebreidere analyse: http://www.crysys.hu/skywiper/skywiper.pdf
29-05-2012, 10:23 door U4iA
Door Anoniem: Het westen denkt echt dat ze zo de Iraanse atoomprogramma kunnen stoppen!
Er is tot op heden nog geen enkele aanwijzing dat Het Westen achter deze malware zit. Daarnaast impliceert Het Westen ook dat Nederland hier van op de hoogte is en aan mee werkt...tenzij wij opeens niet meer bij Het Westen horen. Daarnaast vraag ik me af wat je er precies mee bedoeld, want als het over NAVO landen gaat dan zit Turkije er ook bij en Israël niet. Of bedoel je de rijke landen of de westerse cultuur of de landen ten westen van Azië? Zoals voor alles geldt: onschuldig tenzij het tegendeel bewezen...en dat moeten we zeker zo houden aangezien mensen tegenwoordig wel heel snel een beschuldigend vingertje naar anderen wijzen.
29-05-2012, 19:44 door Anoniem
meer info: http://us.norton.com/security_response/writeup.jsp?docid=2012-052811-0308-99&inid=us_sr_carousel
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.