Selbstzerstörend und schwer zu erkennen… Flame, der „trickreichste“ Computerwurmvirus der Geschichte

1. Prophezeiung

Dadong: Xiaobai, erinnerst du dich an den Wurmvirus, über den wir vorhin gesprochen haben?

Xiaobai: Denken Sie daran, dass sich Wurmviren über das Internet replizieren und verbreiten und die Hauptübertragungskanäle das Internet und E-Mails sind, richtig?

Dadong: Ich erinnere mich gut daran! Mit der Entwicklung der Gesellschaft entwickelt sich jedoch nicht nur die Technologie weiter, sondern auch die Zahl der Computerviren nimmt zu. Was ich Ihnen heute erzählen werde, ist eine hochentwickelte Version eines Wurmvirus!

Xiaobai: Superfortgeschrittene Version? Allein das zu hören, gibt mir ein so tolles Gefühl!

Dadong: Sein richtiger Name ist Worm.Win32.Flame, abgekürzt Flame Virus.

Xiaobai: Bruder Dong, erzähl mir bitte schnell davon! Ich kann nicht länger warten.

2. Flammenvirus

Dadong: Der vollständige Name des Flame-Virus ist Worm.Win32.Flame. Es wurde im Mai 2012 entdeckt. Es handelt sich um ein Backdoor-Programm und einen Trojaner-Virus und weist zudem die Merkmale eines Wurmvirus auf. Solange der Controller dahinter den Befehl gibt, kann es sich im Internet und auf mobilen Geräten replizieren.

Xiaobai: Welche Aktionen wird der Virus ausführen, wenn das Computersystem infiziert ist?

Dadong: Dazu gehört die Überwachung des Netzwerkverkehrs, das Erstellen von Screenshots, das Aufzeichnen von Audiogesprächen, das Abfangen von Tastatureingaben usw. Alle Daten im infizierten System können über einen Link an den vom Virus angegebenen Server übertragen werden, sodass der Bediener sie auf einen Blick sehen kann.

Xiaobai: Es wird komplett überwacht.

Dadong: Der Flame-Virus ist ein hochkomplexes Schadprogramm, das häufig als Cyberwaffe eingesetzt wird und bereits mehrere Länder angegriffen hat.

Flame-Virus von Kaspersky abgefangen

Xiaobai: Auf welchen Wegen wird das Flame-Virus übertragen?

Dadong: Physischer Kontakt, wie eine weniger bekannte LNK-Schwachstelle, die von einem anderen Industrievirus, Stuxnet, verwendet wird, wurde auch im Code von Flame gefunden. Manche Leute bringen einen USB-Stick mit und stecken ihn in den PC des Opfers. Diese LNK-Sicherheitslücke war bei der ersten Entdeckung von Stuxnet eine nicht offengelegte 0day-Sicherheitslücke, wurde inzwischen aber behoben. Bisher wurden keine 0-Day-Schwachstellen gefunden, die von Flame ausgenutzt werden.

Xiaobai: Was noch?

Dadong: Remote-Infektion, in diesem Fall könnte es sich um einen bösartigen Link oder einen E-Mail-Anhang handeln. Wenn die Autoren von Flame versuchen, den Flame-Virus remote auf den PC eines Benutzers hochzuladen, kann dieser durch Sicherheitsschutzsoftware wie Trustwave Secur Web Gateway blockiert werden, da er nicht über eine ordnungsgemäße digitale Signatur verfügt.

Xiaobai: Was sind die Ziele des Flame-Virus?

Dadong: Obwohl das Flame-Virus erst 2012 entdeckt wurde, glauben viele Experten, dass es möglicherweise schon seit langer Zeit im Umlauf war. Tausende Computer in vielen Ländern, darunter im Iran und in Israel, wurden mit dem Virus infiziert. Darüber hinaus sind die Angriffsaktivitäten dieses Virus unregelmäßig. Es wurde bereits auf Personalcomputern, in Bildungseinrichtungen, bei verschiedenen Nichtregierungsorganisationen und bei staatlichen Behörden eingesetzt.

Xiaobai: Es scheint, als würde es seine Ziele nicht auswählen.

Dadong: Der Flame-Virus konzentrierte sich zunächst auf Angriffe im Nahen Osten, darunter 189 Fälle im Iran, 98 Fälle in Israel und Palästina sowie Syrien, Libanon, Saudi-Arabien und anderen Ländern, mit dem Ziel, für Cyberkriege eingesetzt zu werden.

Verbreitungskarte des Flame-Virus

Xiaobai: Ein Krieg ohne den Rauch von Schießpulver.

3. Das gefährlichste Virus der Geschichte

Dadong: Flame wurde von offiziellen Organisationen wie der Weltfernmeldeunion und international renommierten Herstellern wie Kaspersky als die bislang komplexeste, gefährlichste und tödlichste Virenbedrohung eingestuft.

Xiaobai: Ist das Flame-Virus so mächtig? Ist es die Bezeichnung „das komplexeste, das gefährlichste“, „das mächtigste“ oder gar „das am raffiniertesten konstruierte“, „das geheimste“, „das tödlichste“ und viele weitere verdient?

Dadong: Der Flame-Virus verwendet fünf verschiedene Verschlüsselungsalgorithmen, drei verschiedene Komprimierungstechnologien und mindestens fünf verschiedene Dateiformate, darunter sein eigenes proprietäres Format, und speichert die Informationen des infizierten Systems in einem hochstrukturierten Format in Datenbanken wie SQLite. Die Virendatei ist bis zu 20 MB groß (die Länge des mit dem Code ausgedruckten Papiers beträgt 2.400 Meter). Darüber hinaus wird die für die Spieleentwicklung verwendete Skriptsprache Lua verwendet, um die Struktur komplexer zu gestalten.

Xiaobai: Es kann wirklich als das „komplizierteste“ beschrieben werden.

Dadong: Berichten zufolge lässt sich das erste Auftreten des Flame-Virus auf das Jahr 2007 zurückführen. Man vermutet, dass er im März 2010 von Angreifern freigesetzt wurde (um die Geschäftsinformationen des iranischen Ölsektors anzugreifen). Aufgrund der Komplexität seiner Struktur und der Selektivität seiner Angriffsziele konnte ihn Sicherheitssoftware jedoch nicht erkennen. Nach derzeitigem Konsens ist das Flame-Virus möglicherweise seit fünf bis acht Jahren oder sogar länger in irgendeiner Form aktiv und diese hohe Latenz ist sehr gefährlich. Darüber hinaus können sich diese Viren nach Abschluss der Datenerfassung selbst zerstören, was einer der Gründe dafür ist, dass sie lange Zeit inaktiv bleiben können.

Xiaobai: Es kann sich auch selbst zerstören, kein Wunder, dass es nicht so leicht zu erkennen ist.

Dadong: Sobald der Computer mit dem Flame-Virus infiziert ist und seine Komponenten aktiviert sind, nutzt er alle möglichen Bedingungen, einschließlich Tastatur, Bildschirm, Mikrofon, mobile Speichergeräte, Netzwerk, WLAN, Bluetooth, USB und Systemprozesse, um Informationen zu sammeln und dann das Surfverhalten des Benutzers im Internet, Kommunikationsanrufe, Kontokennwörter und sogar Tastatureingaben aufzuzeichnen. Der Schädling nutzt sogar die Bluetooth-Funktion, um Dateien von Smartphones und Tablets zu stehlen, die mit dem infizierten Computer verbunden sind, und sendet sie an den Server, der den Virus fernsteuert. Darüber hinaus kann der Angreifer auch dann noch über Bluetooth-Signale genaue Kontrolle über den infizierten Computer ausüben, wenn die Verbindung zum Server unterbrochen wird.

Xiaobai: Aus funktionaler Sicht ist es sehr leistungsstark. Man kann es als umfassende Diebstahltechnologie bezeichnen, die alle Eingabe- und Ausgabeschnittstellen des Computers des Benutzers abdeckt.

Dadong: Das stimmt.

IV. Vorbeugende Maßnahmen

Xiaobai: Wie können wir einen so starken Flame-Virus verhindern?

Dadong: Mach dir keine Sorgen. Die Antivirensoftware stellt uns ein spezielles Antivirentool namens „Super Flame“ zur Verfügung. Mit nur einem Klick verschwindet der Flame-Virus spurlos!

Xiaobai: Gibt es noch andere Methoden?

Dadong: Natürlich. Der Flame-Virus nutzt eine Sicherheitslücke bei Microsoft aus. Daher ist es sehr wichtig, die offiziellen Patches rechtzeitig zu installieren.

Xiaobai: Woher weiß ich, ob ich mit dem Flame-Virus infiziert bin?

Dadong: Durchsuchen Sie zuerst Ihren Computer, um zu sehen, ob eine Datei „~DEB93D.tmp“ vorhanden ist. Falls vorhanden, ist es möglicherweise mit dem Flame-Virus infiziert. Überprüfen Sie anschließend die Registrierung „HKLM_SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages“. Wenn mssecmgr.ocx oder authpack.ocx gefunden wird, bedeutet dies, dass der Computer infiziert ist.

Xiaobai: Kann ich sicher sein, dass mein Computer nicht infiziert ist, solange sich diese Dateien nicht auf meinem Computer befinden?

Dadong: Überprüfen Sie, ob das folgende Verzeichnis vorhanden ist. Wenn es vorhanden ist, bedeutet dies, dass der Computer infiziert ist:
C:\Programme\CommonFiles\MicrosoftShared\MSSecurityMgr

C:\Programme\Gemeinsame Dateien\Microsoft Shared\MSAudio

C:\Programme\Gemeinsame Dateien\Microsoft Shared\MSAuthCtrl

C:\Programme\Gemeinsame Dateien\Microsoft Shared\MSAPackages

C:\Programme\Gemeinsame Dateien\Microsoft Shared\MSSndMix

Xiaobai: Es sollte jetzt vorbei sein!

Dadong: Du bist so ungeduldig! Es gibt noch einen letzten Schritt, den du mir noch nicht erzählt hast! Wenn eine der folgenden Dateien im Verzeichnis %windir%\system32\ gefunden wird, weist dies ebenfalls darauf hin, dass der Computer möglicherweise infiziert ist: mssecmgr.ocx, advnetcfg.ocx, msglu32.ocx, nteps32.ocx, soapr32.ocx, ccalc32.sys, boot32drv.sys

Xiaobai: Endlich ist es geschafft! Da Viren mittlerweile jedoch allgegenwärtig sind, sollten Sie jeden der oben genannten Ordner Schritt für Schritt überprüfen, um ein Eindringen zu verhindern.

Dadong: Xiaobai, du verstehst diese Prinzipien endlich.