• Desenvolvedores do Stuxnet, Duqu e Flame Teriam Trabalhado Juntos

    De acordo com um levantamento minucioso feito pelos pesquisadores da Kaspersky Labs, os desenvolvedores dos temidos worms Stuxnet, Duqu e o mais recém descoberto trojan Flame, teriam sido projetados a partir de um trabalho em conjunto através de seus desenvolvedores. Entre as três variantes do Stuxnet que foram descobertas, o segundo foi quem se propagou mais e foi justamente o que passou por uma análise melhor detalhada. Mas o primeiro deles, o Stuxnet.A, é aquele que apresenta a prova referida.



    Stuxnet e Flame Estariam Fortemente Ligados Devido a Desenvolvimento em Conjunto


    Criada em junho de 2009, esta variante é muito diferente da seguinte, que foi criada em março de 2010. Por um lado, ele não usou o infame MS10-046 (vulnerabilidade no arquivo LNK). Ele também teve apenas um arquivo de driver, e um usou um "truque especial" com o arquivo autorun.inf para infectar drives USB. Mas, houve um módulo - apelidado de "Resource 207" - que não foi utilizado novamente na segunda versão. Dessa forma, como se viu, esse é o único elo que liga o Flame e o Stuxnet.

    Segundo os pesquisadores, em outubro de 2011 sistema automático da empresa detectou uma amostra que foi classificado como uma variante Stuxnet. Na época, eles acreditavam que era um falso positivo, foi desconsiderado, e chamado simplesmente Tocy.a. Mas quando Flame (SkyWhiper) foi descoberto recentemente, eles foram novamente através dos logs do sistema em busca de amostras que poderiam estar ligadas a ele.

    "Entre as amostras que pareciam quase idênticas ao Flame, encontramos Tocy.a", compatilharam os pesquisadores. "Por que o sistema de raciocínio, enfatizava que esta amostra do Flame estaria relacionada ao Stuxnet? Verificando os logs, descobrimos que o Tocy.a, um módulo inicial de Flame, era realmente semelhante ao "Resource 207" referente ao Stuxnet. Foi realmente muito semelhante, o que fez com que o nosso sistema automático pudesse classificá-lo como Stuxnet". Praticamente, Tocy.a foi semelhante ao Stuxnet em sua própria essência e sem outra amostra de nossa coleção.

    Dessa maneira, é possível verificar que o "Resource 207" é na verdade, um plugin do Flame. "Ou, para ser mais preciso,"proto-Flame"- um módulo que, obviamente, tem muito em comum com a versão atual do mssecmgr.ocx e que tinha evoluído para o Flame em 2012."


    Saiba Mais:

    [1] Help Net Security - Stuxnet, Duqu e Flame http://www.net-security.org/malware_news.php?id=2144

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L