Nieuw monstervirus opgedoken

Er is een zeer krachtig computervirus ontdekt met ongekende mogelijkheden voor spionage en sabotage. Dat schrijft het Russische beveiligingsbedrijf Kaspersky Lab. Het zeer complexe virus moet zijn ontwikkeld door een inlichtingendienst, aldus analisten, die het virus de naam Flame hebben gegeven. Het is mogelijk verwant met Stuxnet, een virus dat bedoeld was om kerncentrales in Iran aan te vallen. Dat land heeft inmiddels laten weten het Flame-virus te bestrijden.

Flame bestaat uit vele modules die allemaal een eigen functionaliteit hebben. Zo kunnen ingewikkelde systemen op afstand worden uitgeschakeld, maar ook kunnen de camera’s en microfoons op pc’s van afstand worden bediend of harde schijven worden leeggezogen. Flame is gevonden op duizenden computers in Iran, Israël, Libanon, Sudan, Syrië, Saudi-Arabië en Egypte. Computers kunnen al door een bezoek aan een website of het gerbuik van een geheugenstick worden besmet.

Analisten geloven dat Flame onderdeel is van een jarenlang programma om malware te ontwikkelen en in te zetten en misschien gemaakt is door Amerikaanse of Israëlische diensten. 

Volgens Kaspersky is met dit virus een nieuwe fase in de cyber-war ingetreden. Een dergelijk virus kan tegen ieder land worden ingezet en is, als het in handen komt van criminelen of terroristen, zeer gevaarlijk. Kaspersky noemt het ‘de meest ingewikkelde bedreiging ooit’. Een volledige analyse van het virus kan ‘tien jaar’ duren.

De malware is 20 megabytes groot, met verschillende databases, twintig mogelijke plugins en verschillende encryptieniveaus.

Het lijkt in maart 2010 voor het eerst in het wild losgelaten te zijn, maar sommige modules stammen al uit de jaren negentig. Kaspersky ontdekte het virus nadat de Verenigde Naties het bedrijf had verzocht om verdachte computers in Iran te analyseren.

Eén van de vele functies is het geheim opnemen van Skype-gesprekken en die doorzenden. Een andere is het aanzetten van Bluetooth en namen en telefoonnummers van alle apparaten in de omgeving overnemen. Flame kan ook iedere 15 seconden screenshots maken van bijvoorbeeld mailprogramma’s en die informatie gecodeerd doorzenden naar een server.

Een andere functie is het scannen van alle verkeer op een netwerk en daaruit wachtwoorden en gebruiksnamen oppikken en doorsturen.

Op een Iraanse computer is een module gevonden die was ontworpen om enorme datahoeveelheden te wissen.

Als het virus eenmaal op een computer is geïnstalleerd wacht het rustig instructies af van één van de ruim 80 servers waarmee het in verbinding kan komen. Het virus communiceert met zes domeinen, maar als er domeinen worden afgesloten kunnen weer nieuwe worden ingesteld.

Zie Kaspersky Lab.