IntelDig

Flame: Creadores del malware apuestan por su autodestrucción

A principios de esta semana expertos observaron que después de ser anunciado el descubrimiento de Flame, la infraestructura de comando y control detrás del software malicioso desapareció.

Esta estructura es importante porque Flame se configura inicialmente en contacto con estos servidores y luego ejecuta los scripts de control que le son útiles.

Sin embargo, después del 28 de mayo -día en que los detalles del software se comenzaron a conocer- las solicitudes de estas secuencias de comandos se encontraron con erroes 403/404, lo que dificulta los esfuerzos para aprender más acerca de los servidores detrás del malware.

Kaspersky Lab, con la asistencia de GoDaddy y OpenDNS, trató de sacar de circulación el malware. Sin embargo, Symantec observó que este esfuerzo fue sólo un éxito parcial – ya que los creadores de Flame todavía tenía el control de unos pocos comandos y servidores de control – lo suficiente como para comunicarse con algunos de los computadores infectados.

“[Los autores] de Flame habían retenido el control de sus cuentas de dominio de registro, lo que les permitió organizar estos dominios con un nuevo proveedor de alojamiento”, explicó Symantec.

A partir de allí, las máquinas infectadas recibieron un nuevo módulo del comando restante y servidores de control – browse32.ocx – que tiene el propósito de cubrir los pasos de Flame. No sólo tiene una lista de todos los archivos relacionados con el malware y carpetas a borrar, pero posteriormente se vuelve a escribir caracteres al azar en el disco para asegurarse de que los datos antiguos no se puedan recuperar.

Hay una excepción a este llamado “fusilamiento de archivos” y es el archivo temporal ~DEB93D.tmp. De acuerdo a una investigación, éste corresponde a un archivo encriptado que contiene una base de datos SQLite de NetBIOS con nombre look-ups. En teoría, ofrecería la capacidad de determinar los nombres de todos los equipos capaces de infectar posiblemente.

Los investigadores no han llegado a un acuerdo en cuanto a si “perdonar” este archivo era una característica intencional o un descuido de los autores de Flame, pero su existencia ya está siendo utilizado como un indicador temporal para si un equipo está o estaba infectado.

Otro aspecto peculiar de la autodestrucción de Flame, de acuerdo con Symantec, es que el malware podría haberse matado a sí mismo sin necesidad de descargar browse32.ocx.

“El código de Flame analizado previamente nos mostró un componente denominado Suicidio, que es funcionalmente similar a browse32.ocx. Se desconoce por qué los autores de malware ha decidido no utilizar la funcionalidad de Suicidio, y en su lugar Flame realiza acciones explícitas sobre la base de un nuevo módulo”.

Más detalles en: ZDNet