Autores do Flame ordenam que se desintegre

Um módulo enviado para o software nocivo remove todos os vestígios da sua presença nos computadores substituindo os ficheiros de dados utilizados, para dificultar análises forenses.

Os criadores do software nocivo, Flame, ordenaram aos computadores infectados ainda sob seu controlo, para descarregarem e executarem um módulo projectado para remover todos os vestígios do malware. O objectivo será impedir as análises forenses, dizem investigadores da Symantec.
O Flame tem incorporado um recurso chamado SUICIDE preparado para desinstalar o malware dos computadores infectados. No entanto, na semana passada, os criadores do malware decidiram distribuir um módulo de auto-remoção diferente daquele dos computadores infectados e ligados a servidores ainda sob o seu controlo, explica a Symantec Security Response.
O módulo é denominado “browse32.ocx” e sua versão mais recente foi criada a 9 de Maio de 2012. “Não se sabe porque é que os autores de malware decidiram não usar a funcionalidade SUICIDE, e fazer o Flame executar acções explícitas baseadas num novo módulo”, diz a Symantec.
Embora seja semelhante em funcionalidade ao recurso SUICIDE – sendo os dois capazes de eliminar um grande número de ficheiros associados ao malware – o novo módulo vai mais além.”Ele localiza todos os ficheiros do Flame no disco, remove-os e, posteriormente, substitui-os com caracteres aleatórios para evitar a obtenção de informações sobre a infecção”, explicam os investigadores.
“Este componente contém uma rotina para gerar caracteres aleatórios e usá-los na operação de substituição. E tenta não deixar vestígios da infecção para trás. Eliminar um ficheiro no Windows não remove os seus dados reais do disco rígido físico.
Apenas se assinalam os sectores do disco rígido ocupado por esse arquivo como disponíveis para o sistema operativo reescrevê-los. No entanto, como não há maneira de prever quando o sistema operativo irá realmente substituir esses sectores, o ficheiro apagado, ou partes dele, podem ser recuperados com ferramentas especiais de recuperação de dados – pelo menos por um período limitado de tempo.




Deixe um comentário

O seu email não será publicado