Bitdefender Removel Tool Flame A / B (64bit)

[deoroller]

Da Flame auf 64 Bit Windows nicht läuft, schränkt das ziemlich ein, da damit auch die leistungsfähigeren Systeme nicht genutzt werden können, die es bei uns häufiger gibt. Flame ist also schon für Regionen gedacht, in denen die PCs leistungsschwach sind.

[Thor Branke]

Da Flame auf 64 Bit Windows nicht läuft, schränkt das ziemlich ein, da damit auch die leistungsfähigeren Systeme nicht genutzt werden können, die es bei uns häufiger gibt.

Das gilt für die bislang gefundenen Staatsvarianten, nicht wahr?
Wenn aber jemand herausfindet, wie man Flame entsprechend ummodelt, sind Tür und Tor offen, oder? Soweit ich gelesen habe, ist die Malware modular aufgebaut. Kann man sich nur die einem genehmen Abschnitte raus suchen, um sie mit anderen Schädlingen, die Windows-64-Bit mögen, zu kombinieren? Intention, Motivation und Fachwissen einmal vorausgesetzt. Anders gefragt: würde Flame bzw. würden Bestandteile davon sich eignen, demnächst Module eines bislang "handelsüblichen" Virenbaukastens zu werden?

[tempranillo]

Wenn aber jemand herausfindet, wie man Flame entsprechend ummodelt, sind Tür und Tor offen, oder?

So wohl kaum. Nach dem, was ich bisher so gelesen habe, eignet sich Flame nur für konkrete, gezielte Angriffe. Das ist ein hochspezialisiertes Spionage-Tool. Um irgendwelche Pins und Tans oder Passwörter bei Susi Müller abzugreifen, ist Flame viel zu groß und zu komplex. Das wäre wie mit nem Flugzeugträger auf Heringsfang zu gehen. Außerdem hat ja MS die entscheidende Lücke im Updater inzwischen geflickt.

[Thor Branke]

Außerdem hat ja MS die entscheidende Lücke im Updater inzwischen geflickt.

Danke für die Einschätzung, das beruhigt.

[deoroller]

Ich habe schon seit Ewigkeiten Windows Update grundsätzlich deaktiviert, aktiviere es nur um festzustellen, ob ich alles manuell gepatched habe am jeweiligen Patchday, und schon mancher hat mich deswegen als paranoid bezeichnet. Jetzt haben wir den Beweis, dass auch das Undenkbare möglich ist.

[kazhar]

Außerdem hat ja MS die entscheidende Lücke im Updater inzwischen geflickt.

darauf würde ich nicht allzu viel geben. wenn die 3-buchstaben-fraktion bei ms anklopft, kommt, dem patriot act gedankt, sehr schnell ein passendes zertifikat angewackelt (mit md5 hash, damits nicht so arg auffällt )

Wenn aber jemand herausfindet, wie man Flame entsprechend ummodelt, sind Tür und Tor offen, oder? Soweit ich gelesen habe, ist die Malware modular aufgebaut.

ohne quellcode ist das eine sowohl sehr langwierige als auch sehr langweilige aufgabe, wie zusätzlich einiges an erfahrung voraussetzt.

die modularität hilft nicht sehr, solange die funktionen/interaktion/interfaces der einzelnen komponenten nicht bekannt sind.

in ein paar monaten eventuell...

[Thor Branke]

Sieh an, sieh an, eine Zyankali-Kapsel für Flame ...

n der vergangenen Woche haben einige der noch aktiven Command-and-Control-Server (C&C-Server) eine spezielle Kommando-Datei mit dem Namen browse32.ocx an die von ihnen kontrollierten, mit dem Super-Spion Flame infizierten Rechner geschickt. Diese Datei funktioniert wie ein Uninstaller und entfernt alle Komponenten des Trojaners von der Festplatte, einschließlich sich selbst. Um eine Wiederherstellung und Analyse der Dateien zu verhindern, überschreibt das Modul sie anschließend mit Zufallszeichen, wozu es einen eigenen Zufallsgenerator mitbringt.
...
Interessant ist das Erstellungsdatum des Selbstmord-Moduls: Es ist auf den 9. Mai 2012 datiert, nur wenige Wochen vor der Bekanntwerdung. Auch dass überhaupt eine separate Kommando-Datei verwendet wurde, macht die Spezialisten stutzig, da der Flame-Code selbst eine Komponente namens SUICIDE enthält, die die gleichen Funktionen wie browse32.ocx ausführt. Eine Erklärung für das neue Modul suchen die Viren-Forscher noch.

[kazhar]

Eine Erklärung für das neue Modul suchen die Viren-Forscher noch.

das würde ich jetzt einfach mal unter "normale vorgehensweise in arbeitsgruppen mit hoher personalrotation" ablegen.

A: war der shredder-befehl in der release version jetzt drinnen oder nicht?
B: ja, laut der agenda vom 1.4. sollte das modul integriert sein.
A: gut.
B: *blätter* *raschel* ... äääähh, im meetingprotokoll vom 3.4. steht drinnen, dass der integration manager probleme beim build des moduls hatte
A: also geht der shredder nicht?
B: das geht aus der notiz nicht hervor
A: *seufz* na gut dann pack den shredder und alles was er so braucht in ein paket und lass es nachladen
B: die ganzen 254mb?
A: jop.

[Thor Branke]

A: *seufz* na gut dann pack den shredder und alles was er so braucht in ein paket und lass es nachladen
B: die ganzen 254mb?
A: jop.

Tja, eigentlich bräuchten die Antivirenhersteller jetzt nur noch diese ominöse Antimaterie-Datei* in ihre Produkte einbauen. Dann haben andere die Arbeit für sie gemacht.

* die Metapher passt IMHO besser, denn Flame wird ja nicht vergiftet, sondern es findet die völlige Annihilation statt.