Egy független telekommunikációs tanácsadó szervezet, az International Telecommunication Union (ITU) a Kaspersky Lab segítségével azonosított egy kiemelten fontos és veszélyes vírust: a Flame, illetve Flamer névre hallgató kémprogram valóban kémkedik, a szó James Bond-féle értelmében. Már az is durva, hogy minimum kétéves aktivitás után lepleződött le, a mostanra megfertőzött gépek száma pedig még a legendás, az iráni atomprogram megroppantására is képes Stuxnet botnet áldozatainál is hússzor több.

Számítógépesített hadosztály ■ Az ITU szerint azért is tarthatott két évig a lappangó kártevő azonosítása, mert sokáig földrajzilag egy elhatárolt területet, a Közel-Kelet egyes országait támadta. A szakemberek úgy vélik, a főként Iránban és Izraelben (pontosabban Palesztinában) aktív kémprogramot minden bizonnyal nagypályás játékosok írták és terjesztik, így valószínűsíthető, hogy a Flamer is valamilyen állami szervezet megrendelésére készült.

A Flame által jelenleg megtámadott országok (forrás: Kaspersky Lab)

A vírus lényegében minden olyan információt képes ismeretlen gyűjtőhelyek felé továbbítani, ami a megfertőzött gépeken megfordul: a képernyőre kiírt szövegektől a tárhelyeken lévő fájlokon át egészen a hangalapú adatokig bármi lekérhető a segítségével. A titkos irányítók akár azt is megtehetik, hogy a felhasználó tudta nélkül aktiválják a számítógéphez kapcsolt mikrofont vagy bármilyen egyéb hangrögzítő eszközt, és felveszik a környezeti zajokat, például a gép előtt elhangzó beszélgetéseket.

A kártevő azonosítását követően az iráni nemzeti számítástechnikai akciócsoport (igen, náluk tényleg van ilyen) weboldalán Flamer néven azonnal a legmagasabb veszélyességi kategóriába sorolta a vírust, és természetesen igyekezett leszögezni: az eltávolító eszköz hamarosan elérhető lesz.

Az ITU szerint azonban nem lesz egyszerű megfogni a Flamert: egyrészt a legnépszerűbb víruskereső szoftverek mai napon érvényes frissítései sem képesek még azonosítani a fertőzött fájlokat, másrészt eddig is több variánst azonosítottak a kártevőből, így elképzelhető, hogy mire megszületik egy általános megoldás, máris egy gyakorlatilag felismerhetetlen mutáns veszi át az előző verziók helyét.

A kódkészlet például képes rá, hogy a víruskeresők megtévesztésére az érzékelt környezettől függően változtassa az általa használt fájlkiterjesztéseket. Egyes szakemberek szerint akár tíz évbe is kerülhet, míg teljesen megismerik a Flamer működési mechanizmusának minden egyes elemét. Összehasonlításképpen: a szakértőknek nagy fejfájást okozó Stuxnet botnet vírusa 500 kilobájtos programocska volt, ezzel szemben a Flamer 20 megabájtos "tömegpusztító fegyver".

Díszes társaságban ■ A legújabb hírek szerint a Kaspersky sem mérte fel elég jól a vírus elterjedését. A magyar CrySys Labor (amely a Stuxnet tavalyi variánsát, a Duqu-t is azonosította) is elemezte a Flamert, amely egy másik kódrészlet alapján a hazai keresztségben sKyWIper nevet kapott. A CrySys szakértői szerint akár 5-8 éve is fejlődhet a vírus, amelyről időközben kiderült, hogy az ismert célországok mellett Magyarországon is megjelent, de egyebek mellett már Ausztria vagy Oroszország fenyegetettségét is igazolták.

A hazai szakemberek gyors összefoglalója alapján a Symantec is megemlíti Magyarországot a kártevő egyik célpontjaként, és a Sophos is közzétette a legfontosabb tudnivalókat. Érdemes tehát figyelni az adatbiztonsággal foglalkozó cégek oldalait a sokak által "hamarosan" ígért detektáló és eltávolító eszközökért!