Flame malware: come funziona e come scovarlo

di Tullio Matteo Fanti

scritto il

Il malware Flame è una seria minaccia per la sicurezza dei dati informatici, in quanto è in grado di trafugare informazioni da numerose fonti: le istruzioni per capire se il proprio pc è infetto.

E’ allarme per il malware Flame, progettato per lo spionaggio informatico e considerato estremamente pericoloso poiché altamente sofisticato, in grado di dirottare informazioni sensibili verso server esterni.

Il malware non è nuovo ma subdolo: esiste dal 2010 ma è sempre sfuggito al controllo dei sistemi antivirus propagandosi attraverso le falle presenti nei bollettini MS10-046 e MS10-061, le stesse utilizzate dalle minacce Stuxnet e Duqu.

Flame in questi giorni sta lentamente diffondendosi, sottraendo dati dai computer infetti.

La novità è che questo malware registra e trafuga ogni tipo di informazione, persino le registrazioni audio delle chat. E poi: i file presenti all’interno dei dischi rigidi, il traffico di rete, i contatti della rubrica, le schermate dei programmi utilizzati e così via.

Nonostante il numero di infezioni rilevato sia ancora piuttosto contenuto, si tratta di una minaccia da non sottovalutare assolutamente , perché in grado di effettuare vere opere di “spionaggio” nel caso vada ad infettare computer utilizzati in ambito lavorativo, inviando informazioni potenzialmente preziose a server di tutto il mondo.

Al momento non esiste un vero strumento in grado di scovare e rimuovere la minaccia; tuttavia, il portale Securelist ha pubblicato alcune operazioni per un controllo manuale dei sistemi.

Il sistema è infetto dal malware Flame se:

  • si scopre tramite ricerca la presenza del file “~DEB93D.tmp”;
  • nel registro di sistema, alla chiave “HKLM_SYSTEMCurrentControlSetControlLsa Authentication Packages” è presente la voce “mssecmgr.ocx” o “authpack.ocx”:
  • esistono i seguenti file nella cartella “C:Program FilesCommon FilesMicrosoft Shared”: MSSecurityMgr, MSAudio, MSAuthCtrl, MSAPackages o MSSndMix.