El malware tiene un tamaño inusual grande de 20 MB, está escrito parcialmente en el lenguaje de programación interpretado Lua con código C++ compilado y permite que otros módulos atacantes sean cargados después de la infección inicial. El malware usa cinco métodos diferentes de cifrado y una base de datos SQLite para almacenar información. El método usado para inyectar el código en varios procesos es silencioso, de forma que los módulos malware no aparecen en la lista de los módulos cargados en un proceso y las páginas de memoria son protegidas con los permisos READ, WRITE y EXECUTE que la hacen inaccesible para las aplicaciones en modo usuario. El código interno tiene pocas similitudes con otros malware, pero aprovecha dos vulnerabilidades que también fueron usadas previamente por Stuxnet para infectar sistemas. El malware determina qué software antivirus está instalado en el sistema y modifica su comportamiento (por ejemplo, cambiando la extensión de archivo que utiliza) para reducir la probabilidad de ser detectado por ese software. Indicadores adicionales de que un sistema está infectado son la exclusión mutua (mutex) y la actividad del registro.
Como recolecta información C&C de Flame, se una imagen completa de como recolecta dominios y servidores
No hay comentarios:
Publicar un comentario