Nowy szkodliwy program miniFlame

Przeczytaj także: Program Flame nadal aktywny

Statystyki z leja

Podczas naszych badań udało się nam się zassać do leja kilka domen C&C Flame'a i miniFlame'a. Statystyki poniżej przedstawione są dla miniFlame'a.

Od 28 maja 2012 r. do 30 września 2012 r. doliczyliśmy się blisko 14000 połączeń, pochodzących z około 90 różnych adresów IP:


Adresy IP wyśledzone w Stanach Zjednoczonych pochodzą z połączeń VPN. Podobnie, adresy IP pochodzące z Litwy przynależą do dostawcy usług internetowych, który zapewnia satelitarne połączenia internetowe na terenie Libanu. Najbardziej zagadkowe wydają się być adresy IP we Francji – niektóre zdają się pochodzić od proxy lub VPN, ale inne nie są już tak oczywiste.

Inne adresy IP we Francji należą do użytkowników internetu mobilnego lub przydzielone zostały darmowym usługom internetowym.

Ogólnie rzecz biorąc, wygląda na to, że głównymi lokalizacjami ofiar są Liban i Iran.

Backdoor SPE / miniFlame

Głównym założeniem miniFlame'a jest operowanie na zainfekowanych systemach jako backdoor, pozwalający atakującym na uzyskanie całkowitej zdalnej kontroli nad zainfekowaną maszyną.

Wszystkie polecenia wydawane są przez serwer C&C i szyfrowane są podstawowym 10-bajtowym algorytmem XOR z dodatkową warstwą szyfrowania Twofish.