У промышленного вируса Flame обнаружились "родственники"

Лаборатория Касперского объявила о результатах нового исследования сложной вредоносной программы Flame, проведенного совместно с МСЭ-ИМПАКТ, CERT-Bund/BSI и компанией Symantec. В результате анализа нескольких командных серверов, которые использовались создателями Flame, эксперты обнаружили следы трех других вредоносных программ. Кроме того, они установили, что разработка платформы Flame началась еще в 2006 году.

Основные результаты исследования:

• Разработка платформы командных серверов Flame началась еще в декабре 2006 года;
• интерфейс командных серверов был сконструирован таким образом, чтобы имитировать обычную систему управления контентом (CMS), чтобы скрыть истинную цель проекта от хостинг-провайдеров и случайных проверок;
• серверы получали данные с зараженных компьютеров с использованием четырех различных протоколов, только один из которых применялся на компьютерах, зараженных Flame;
• наличие трех дополнительных протоколов, не используемых Flame, является оказательством существования по меньшей мере трех других вредоносных программ, связанных с Flame;
• одна из родственных Flame вредоносных программ в настоящее время продолжает активно распространяться;
• имеются признаки того, что разработка платформы командных серверов продолжается; в коде встречаются упоминания схемы передачи данных под названем «Красный протокол» (Red Protocol), однако эта схема пока не была реализована.

Признаки использования командных серверов Flame для управления другими известными вредоносными программами, например, Stuxnet или Gauss, так и не были обнаружены.