Slijede razlike između dviju inačica stranice.
| Starije izmjene na obje strane Starija izmjena Novija izmjena | Starija izmjena | ||
|
racfor_wiki:flame_virus [2021/01/17 13:10] mperleta [Povijest] |
racfor_wiki:flame_virus [2024/12/05 12:24] (trenutno) |
||
|---|---|---|---|
| Redak 25: | Redak 25: | ||
| Prema procjenama Kasperskyja u svibnju 2012., u početku je Flame zarazio približno 1.000 računala, a među žrtvama su bile vladine organizacije, | Prema procjenama Kasperskyja u svibnju 2012., u početku je Flame zarazio približno 1.000 računala, a među žrtvama su bile vladine organizacije, | ||
| - | {{ : | + | {{ : |
| Redak 45: | Redak 45: | ||
| Flameovi moduli zajedno zauzimaju više od 20MB memorije što je neuobičajeno za zloćudne programe koji su inače dosta manje veličine. No, to je i jedan od razloga zašto nije otkriven odmah. Općenito, današnji je zlonamjerni program mal i usmjeren. Lakše je sakriti malu datoteku nego veći modul. Uz to, na nepouzdanim mrežama preuzimanje 100KB ima puno veću vjerojatnost uspjeha od preuzimanja 20MB[2]. | Flameovi moduli zajedno zauzimaju više od 20MB memorije što je neuobičajeno za zloćudne programe koji su inače dosta manje veličine. No, to je i jedan od razloga zašto nije otkriven odmah. Općenito, današnji je zlonamjerni program mal i usmjeren. Lakše je sakriti malu datoteku nego veći modul. Uz to, na nepouzdanim mrežama preuzimanje 100KB ima puno veću vjerojatnost uspjeha od preuzimanja 20MB[2]. | ||
| - | Napisan je djelomično u Lua skriptnom jeziku s povezanim C++ kodom za kompiliranje što omogućuje ostalim modulima da se učitaju nakon inicijalne zaraženosti računala. Primjer Lua koda na Slici 2. | + | Napisan je djelomično u Lua skriptnom jeziku s povezanim C++ kodom za kompiliranje što omogućuje ostalim modulima da se učitaju nakon inicijalne zaraženosti računala. Primjer Lua koda na slici. |
| + | |||
| + | {{ : | ||
| Nadalje, program koristi pet različitih metoda šifriranja i SQLite bazu podataka u koju sprema strukturirane podatke. Memorijske stranice su zaštićene READ, WRITE i EXECUTE dozvolama kako se ne bi mogle pristupiti preko user-mode-a u aplikacijama[4]. | Nadalje, program koristi pet različitih metoda šifriranja i SQLite bazu podataka u koju sprema strukturirane podatke. Memorijske stranice su zaštićene READ, WRITE i EXECUTE dozvolama kako se ne bi mogle pristupiti preko user-mode-a u aplikacijama[4]. | ||
| Redak 73: | Redak 75: | ||
| Čini se da se replicira po naredbi napadača, poput Duqu-a, a također se kontrolira bot konfiguracijskom datotekom. Većina rutina infekcije ima brojače izvršenih napada i ograničena je na određeni broj dopuštenih napada. Na Slici 3. su prikazani načini širenja virusa. | Čini se da se replicira po naredbi napadača, poput Duqu-a, a također se kontrolira bot konfiguracijskom datotekom. Većina rutina infekcije ima brojače izvršenih napada i ograničena je na određeni broj dopuštenih napada. Na Slici 3. su prikazani načini širenja virusa. | ||
| + | |||
| + | {{ : | ||
| Jedna od zanimljivih funkcionalnosti Flame-a je njegova mogućnost snimanja zaslona (engl. screenshots). Štoviše, snimke zaslona se uzimaju kada se pokrenu određene „zanimljive“ aplikacije kao npr. aplikacije brzog slanja poruka (engl. Instant Messaging Apps). Snimke zaslona pohranjuju se u komprimiranom formatu i redovito se šalju C&C poslužitelju, | Jedna od zanimljivih funkcionalnosti Flame-a je njegova mogućnost snimanja zaslona (engl. screenshots). Štoviše, snimke zaslona se uzimaju kada se pokrenu određene „zanimljive“ aplikacije kao npr. aplikacije brzog slanja poruka (engl. Instant Messaging Apps). Snimke zaslona pohranjuju se u komprimiranom formatu i redovito se šalju C&C poslužitelju, | ||