Flame выдает зараженную машину локальной сети за прокси сервер Windows Update и осуществляет атаку «человек по середине». «Лаборатория Касперского» сообщила о том, что шпионская программа Flame, которая активно используется для сбора важных данных компьютерных систем Ближнего Востока, при заражении хостов внутри локальной сети выдает себя за прокси-сервер службы Windows Update, осуществляя, таким образом, атаку «человек посередине». Ранее большинство экспертов склонялись к тому, что вирусописатели вооружили Flame эксплоитом к уязвимости нулевого дня, так как эта вредоносная программа поражала даже полностью обновленные версии Windows 7.
Напомним, что вчера корпорация Microsoft выпустила обновление безопасности, в котором отозвала ряд сертификатов, используемых Flame для подписи программных модулей.
По данным ЛК, модули, получившие название Gadget и Munch, ответственны за распространение вируса по локальной сети. «Когда машина пытается установить соединение с Microsoft Windows Update, ее соединение перенаправляется на зараженную систему, которая отправляет клиенту ложное вредоносное обновление Windows», – отметил в блоге антивирусной компании Александр Гостев.
Это ложное обновление содержит несколько файлов, среди которых отмечается WuSetupV.exe – имеющий цифровую подпись Microsoft, что позволяет ему запускаться без подтверждения пользователя. Программа, впоследствии, загружает Flame на скомпрометированную систему.
«Перехват запроса к официальному серверу Windows Update (атака «человек посередине») осуществляется путем объявления зараженной машины прокси-сервером домена. Это выполняется через WPAD. Для того чтобы поразить систему, ее настройки System Proxy должны быть установлены на Auto» – отмечает эксперт ЛК.
Исследователь также подчеркнул, что хотя распространение внутри локальной сети осуществляется путем подмены сервера службы Windows Update, заражение первого хоста в системе вполне может осуществляться через уязвимость нулевого дня, и подобную вероятность списывать со счетов нельзя.
Вирус Flame был обнаружен в ходе проведения расследования «Лаборатории Касперского» по запросу Международного союза электросвязи (МСЭ). МСЭ обратился за помощью в обнаружении неизвестного вируса, удаляющего важную информацию с компьютеров различных предприятий в странах Ближнего Востока. К МСЭ, в свою очередь, обратились власти Ирана, сообщив о том, что в конце прошлого месяца с базы данных нефтяной компании исчезла важная информация.