Den nye computervirus Flame betegnes som det mest komplekse og avancerede stykke malware, der nogensinde er fundet. Kaspersky Labs og ITU advarer mod cyber-truslen, som især er fundet på computere i Mellemøsten. Men hvad er det, der gør Flame så specielt?
En del af forklaringen ligger i størrelsen - Flame fylder omkring 20 MB og det er helt op til 20 gange større end Stuxnet, som måske kommer fra den samme kilde.
Det skyldes at Flame indeholder en række biblioteker, herunder zlib, libbz2 og ppmd til komprimering, databasen SQlite3 og en Lua Virtual Machine til at afvikle script-sproget Lua, som dele af Flame er skrevet i.
Kaspersky mener, at Flame-kernen der er skrevet i Lua kun omfatter omkring 3.000 kodelinier.
Det anslås at en gennemsnitlig programmør skal bruge omkring en måned på at skrive og debugge denne mængde kode.
Ifølge Kaspersky har det været svært at analysere Flame, fordi der ikke er tale om en konventionel køreklar applikation, men flere DLL-filer der bliver loadet når systemet starter.
Lua er udviklet i Brasilien og det samme er Flexible Lightweight Active Measurement Environment (Flame). Et platform, som bruger Lua-script til netværksovervågning og som altså deler navn med malwaren. Muligvis indgår denne platform som en del af malwaren.
Der spekuleres nu på, om malwaren måske også kommer fra Brasilien.
Den første teori var ellers, at Flame-trojaneren er udviklet af de samme, som står bag Stuxnet og Duqu - måske endda en nationalstat.
Flame bruger den samme printer-sårbarhed, som også udnyttes i Stuxnet, og den kan sprede sig gennem USB-nøgler.
Kaspersky fortæller at Flame er i stand til at tage og gemme screenshots, der lagres i et komprimeret format og sendes tilbage til kontrolserverne. Den tager især screenshots, når man bruger instant messaging-programmer, og den bruger computerens mikrofon til at optage lyd, som også sendes tilbage. Hele overførslen bliver krypteret med SSL.
En anden usædvanlig funktion sørger for at samle informationer om alle Bluetooth-enheder i nærheden af den inficerede maskine. Flame kan også selv aktivere Bluetooth på computeren og sende generelle informationer om malwarens status til andre Bluetooth-enheder. Disse oplysninger bliver kodet ind i de enhedsinformationer, der overføres per Bluetooth.
En komplet oversigt over funktionerne i det usædvanlige malware-program findes hos Kaspersky.
