A equipa de Resposta a Emergências Informáticas do Irão (MAHER) reclama ter descoberto o novo malware direccionado a alvos «Flamer», anunciou a empresa de segurança informática Sophos
A empresa de segurança russa Kaspersky anunciou também hoje ter detectado o mesmo malware, a que chamou «Flame» que afirma ter grande complexidade e sofisticação.
No seu blogue oficial, a Sophos indica que os investigadores iranianos afirmam acreditar que o «Flamer» tem uma relação estreita com o malware «Stuxnet» e sublinham que nenhum dos 43 produtos anti-vírus que foram testados conseguiram detectar o «Flamer».
Acrescentam que organizações e companhias iranianas foram visadas pelo ataque no início de Maio.
O MAHER afirma que produziu uma ferramenta de remoção daquele malware.
Os iranianos dizem que o «Flamer» pode ser transmitido pela Internet ou por dispositivos USB.
Universidade de Budapeste admite que malware tenha sido desenvolvido por um Estado
A Universidade de Tecnologia e Economia de Budapeste publicou um relatório de mais de 60 páginas sobre o malware que chamou «sKyWiper», mas não é ainda completamente seguro que este, o «Flamer» e o «Flame» sejam o mesmo programa malicioso.
No relatório, a que o Falar de Tecnologia teve acesso, a Universidade de Budapeste diz que não sabe quantos países foram afectados pelo «sKyWiper» mas suspeita que não se limitou a um único país, observando que tiveram informações de sistemas infectados na própria Hungria.
Indica que o malware será idêntico ao descrito pelo MAHER, do Irão, que lhe chamou «Flamer».
Tal como a Kaspersky diz em relação ao «Flame», a Universidade hungara observa que o «sKyWiper» é muito complexo, com um grande número de componentes e com um tamanho substancial de alguns dos seus ficheiros, observando que não foi possível uma análise completa do programa com os recursos de que a Universidade dispõe.
Afirma que a primeira análise aponta para que o «sKyWiper» seja um malware com uma estrutura modular que incorpora múltiplas técnicas de propagação e ataque, mas observa que uma análise mais profunda poderá revelar componentes com outras funcionalidades.
Os investigadores da universidade hungara estimam que o malware estará activo há cinco a oito anos e adianta que o «sKyWiper» usa técnicas de compressão e encriptação nos seus ficheiros. Utiliza cinco métodos diferentes de encriptação (com variantes) e três técnicas de compressão diferentes e pelo menos cinco formatos de ficheiros, incluindo alguns formatos próprios.
A Universidade de Tecnologia e Economia de Budapeste considera «muito interessante» que o «sKyWiper» armazene informação que recolhe nos sistemas infectados em bases de dados SQLite num formato altamente estruturado.
A Universidade afirma que os atacantes podem configurar múltiplos métodos de exploração e propagação do malware e indica que o «sKyWiper» provavelmente conseguirá usar todas as funcionalidades dos computadores infectados para atingir os seus objectivos.
A Universidade de Budapeste sublinha que os resultados da análise técnica daquele malware, que será seguramente o mais sofisticado e mais complexo de sempre, «suportam a hipótese de que o sKyWiper foi desenvolvido por uma agência governamental de um Estado com um orçamento e esforços significativos, e pode estar relacionado com actividades de ciberguerra».