К списку

Вирус-жучок

19 июня 2012

С недавнего времени появилась информация от Symantec о потенциальном использовании технологий Bluetooth червём W32.Flamer. Данный вирус признан одной из самых сложных и вредоносных программ. С помощью данного вируса злоумышленник получает возможность распознать аппарат жертвы на расстоянии до одной мили, а также следить за её местонахождением. В придачу имеется возможность хищения конфиденциальной информации и прослушивания разговоров.

W32.Flamer является единственной угрозой для платформ Windows, которая настолько широко использует технологи Bluetooth. Этот факт наглядно демонстрирует широкий спектр её использования в корпоративном шпионаже, благодаря большим возможностям по несанкционированному съёму информации.

При запуске производится обнаружение всех доступных Bluetooth-устройств. Затем производится запрос статуса устройства, параметры которого, включая и идентификатор, записываются. Далее следует настройка себя в виде Bluetooth-маяка, что приводит к постоянной доступности зараженной машины при поиске Bluetooth-устройств.

Злоумышленник может фиксировать устройства, появлявшиеся в зоне досягаемости компьютера, зараженного вирусом, что имеет большую эффективность, если подвергшаяся атаке машина является ноутбуком.

Другой вариант, позволяющий локализовать жертву – определение её мобильного телефона. Поскольку вирус собирал список данных об устройствах, находившихся рядом с зараженной машиной, злоумышленнику не составит труда определить, какое из них является мобильным телефоном жертвы. Далее можно вести пассивную слежку за жертвой, не имея необходимости идентификации её устройств. Серия атак дает возможность локализовать устройство на расстоянии порядка 1,6 км.

Функционал вируса реализован в виде Lua-скриптов, которые загружаются из хранилища приложений  FLAME. Злоумышленник может размещать новые вирусные приложения в хранилище, для последующей его загрузки на атакуемый аппарат. Расширение функционала позволяет предпринять ряд атак:

  • Хищение конфиденциальной информации (контакты, сообщения, фото и т.п.);
  • Использование устройства с целью подслушивания, посредством подключения к нему зараженного компьютера в качестве аудио-гарнитуры;
  • Передачу похищенных данных через каналы связи других устройств.

Описанное выше, является вполне осуществимым на практике, при соответствующей технической подготовке. Устройство вируса W32.Flamer говорит о крайне высокой квалификации злоумышленников.