Vírus Flame é capaz de se apagar da máquina infectada

Os criadores do vírus de espionagem Flame enviaram uma ordem para os computadores infectados que ainda estão sob controle dos crackers para baixarem e executarem um componente, desenvolvido para remover todos os indícios do malware e evitar análises forenses da ameaça, de acordo com informações da Symantec.
O Flame possui um recurso integrado chamado SUICIDE (suicídio, em inglês), que pode ser utilizado para desinstalar o malware dos computadores. No entanto, os criadores da ameaça decidiram distribuir um módulo de remoção automática para máquinas que ainda estejam sendo controladas e conectadas aos servidores, explicou a empresa de segurança em um post.
O módulo se chama browse32.ocx e sua versão mais recente foi criada no início de maio. “Ainda não se sabe por que os autores decidiram não utilizar a funcionalidade SUICIDE e, ao invés disso, fazer com que o Flame realizasse ações explícitas de remoção, baseadas nesse novo módulo” explicou a Symantec.
No entanto, apesar de possui uma funcionalidade similar ao SUICIDE (ambos apagam uma grande quantidade de arquivos associados ao malware), o novo módulo vai mais além. “ele localiza cada arquivo do Flame no disco e, em seguida, sobrescreve o disco com caracteres aletórios para prevenir que qualquer pessoa obtenha informações sobre a infecção” comentaram os pesquisadores. “O componente contém uma rotina para gerar esses caracteres durante a operação; ele tenta não deixar rastros da infecção”.
Apagar um arquivo no Windows não remove propriamente seus dados do disco rígido. Essa ação apenas alerta o sistema de que setores do disco que estava ocupados agora estão livres para serem sobrescritos. No entanto, como não há como prever quando o sistema fará esse procedimento, o arquivo apagado ou partes dele pode ser recuperado com ferramentas específicas, pelo menos por um período de tempo.
Na semana passada, pesquisadores da Kaspersky afirmaram que descobriram o Flame enquanto investigavam uma série de incidentes envolvendo perdas de dados no Irã, que poderiam ser causados por um malware. No entanto, ainda há não há evidências de que esses ataques tenham ligação com o próprio Flame. No entanto, os especialistas não descartaram a possibilidade que um componente do Flame, que ainda precisa ser identificado, tenha sido responsável pela destruição de dados no país, todavia, caso esse componente exista, não se trata do browse32.ocx.
Fonte: IDGNow!
Você precisa fazer log in para comentar.