Foro de elhacker.net

La empresa de seguridad informática rusa ha localizado en varios países ordenadores infectados por un nuevo malware diseñado para llevar a cabo tareas de ciberespionaje.

Según parece, los ingenieros de Kaspersky se toparon con Flame mientras investigaban el gusano Wiper, que estaba borrando datos en ordenadores de Asia Occidental.

El malware Worm.Win32.Flame, que ha sido bautizado como Flame, puede acceder y extraer los contenidos que se muestran en la pantalla de un ordenador, datos y conversaciones de sus usuarios, así como información sobre los sistemas comprometidos.

Los ingenieros de Kaspersky han desvelado que el potente malware, que lleva en activo  desde 2010 marzo sin haber sido detectado, logró esquivar hasta ahora el cerco de los programas de seguridad gracias a su elevada dosis de complejidad.

En ese sentido, los expertos de la compañía rusa aseguran que se trata de la mayor amenaza vista hasta la fecha en internet, superior a casos recientes como los de Stuxnet o Duqu.

Además, han avisado de que los usuarios no están a salvo, ya que el malware todavía se encuentra activo y siguen recibiendo noticias de nuevos equipos afectados.

Por último, en la empresa moscovita han anunciado que van a trabajar con un extenso equipo de profesionales para poder estudiar a fondo el malware y responder a los múltiples interrogantes que tienen abiertos.


El malware es imparable. Lo dicen cada año las empresas de seguridad en sus informes anuales y trimestrales, y además cada vez es más complejo. Investigadores de varias organizaciones y compañías de seguridad han identificado y analizado una nueva amenaza de malware que ha sido utilizada fundamentalmente en ataques de ciberespionaje en Oriente Medio.

Según el Iranian Computer Emergency Response Team (MAHER), el malware, al que se ha bautizado como Flame, podría ser el responsable de los últimos incidentes de pérdida de datos en Irán. Además, también hay razones para creer que el malware está relacionado con las amenazas de ciberespionaje de Stuxnet y Duqu.
 

Investigadores de la empresa de seguridad Kaspersky también han analizado el malware y han descubierto que aunque es similar a Stuxnet y Duqu en cuanto a propagación geográfica y objetivos, tiene características diferentes y es más complejo que los anteriores.

Flame tiene un kit de herramientas de ataque muy grande con muchos módulos individuales capaz de ejecutar varias acciones individuales, la mayoría de las cuales están relacionadas con el robo de datos y el ciberespionaje.

Entre otras cosas, Flame puede hacer uso del micrófono del ordenador y grabar las conversaciones, tomar fotografías de aplicaciones particulares, grabar las pulsaciones del teclado, husmear en el tráfico de red y comunicarse con dispositivos Bluetooth cercanos.

Es probable que una de las primeras versiones de kit de herramientas fuera creada en 2010 y que sus funcionalidades fueran extendiéndose posteriormente gracias a su arquitectura modular.

Destacar también que Flame es mucho más grande que Duqu y Stuxnet. El tamaño combinado de todos los componentes de Flame alcanzaría los 20MB y sólo un archivo es de 6MB. Otro aspecto destacado es que algunas partes de Flame fueron escritas en LUA, un lenguaje de programación muy poco utilizado en el desarrollo de malware.

Flame se extiende a otros ordenadores copiándose a sí mismo en dispositivos USB, además de explotando una vulnerabilidad no parcheada en Microsoft Windows. Cuando infecta ordenadores protegidos por programas antivirus, Flame evita realizar algunas acciones o ejecutar código malicioso que pudiera llevar a su detección, lo que le ha permitido pasar desapercibido durante tanto tiempo.

Las mayores zonas de infección de Flame son Oriente Media y África, fundamentalmente en países como Arabia Saudí, Egipto, Irán, Israel, Líbano y Sudán. Sin embargo, Symantec también ha identificado infecciones en Austria, Emiratos Árabes, Hong-Kong, Hungría y Rusia, por lo que no se descarta que las infecciones se originaran a partir de portátiles que temporalmente han estado en el primer grupo de países.

Como ya ocurrió con Duqu y Stuxnet, no está claro quién es el responsable de Flame, aunque la complejidad y cantidad de recursos necesario para crear algo  similar ha llevado a los investigadores de seguridad a creer que está desarrollado o costeado por un estado.

Kaspersky Lab anuncia el descubrimiento de un programa malicioso muy sofisticado que está siendo utilizado de forma activa como arma cibernética para atacar distintos organismos en varios países. La complejidad y la funcionalidad del programa malicioso recién descubierto superan a los de todas las amenazas cibernéticas conocidas hasta la fecha.

El malware fue descubierto por los expertos de Kaspersky Lab durante una investigación impulsada por la ITU, la agencia de las Naciones Unidas para la Información y la Comunicación Tecnológica. El programa malicioso, detectado como el Worm.Win32.Flame por los productos de seguridad Kaspersky Lab, está diseñado para llevar a cabo ciberespionaje.

Puede robar información valiosa, incluyendo contenidos de la pantalla de la computadora, información de sistemas específicos, archivos almacenados, datos de contacto y conversaciones, incluso de audio.

La investigación independiente comenzó tras una serie de incidentes con otro programa de malware, llamado Wiper, que ha borrado datos de computadoras en la región de Asia Occidental. Este programa malicioso está aún por descubrir, pero durante el análisis de estos incidentes, expertos de Kaspersky Lab, en coordinación con la ITU, se encontraron un nuevo malware, ahora conocido como Flame.

A pesar de que las características de Flame no son como las de anteriores armas cibernéticas, como Duqu y Stuxnet, la geografía de los ataques, el uso de las vulnerabilidades de software específicos y el hecho de que las computadoras seleccionadas estén en el punto de mira indica que Flame pertenece a la misma categoría de super-ciberarmas.

Eugene Kaspersky, CEO y co-fundador de Kaspersky Lab, afirma: “La amenaza de la guerra cibernética ha sido uno de los temas más graves en el área de la seguridad de la información desde hace varios años. Stuxnet y Duqu pertenecían a una sola cadena de ataques, lo que incrementó las preocupaciones relacionadas con la ciberguerra en todo el mundo. El malware Flame parece ser una nueva fase en esta guerra, y es importante entender que este tipo de armas cibernéticas se puede utilizar fácilmente en contra de cualquier país. A diferencia de la guerra convencional, los países más desarrollados son en realidad los más vulnerables en este caso”.

El propósito principal de Flame parece ser el ciberespionaje y el robo de información de los equipos infectados. Dicha información es enviada a una red de servidores C&C ubicados en diferentes partes del mundo. La variada naturaleza de la información robada, que puede incluir documentos, imágenes, grabaciones de audio y una intercepción del tráfico de red, lo convierte en uno de las más avanzadas y completas herramientas de ataque que se haya descubierto.

Alexander Gostev, director de los Expertos en Seguridad en Kaspersky Lab, nos comentó que: “Los descubrimientos preliminares de esta investigación, llevados a cabo a partir de una petición urgente de la ITU confirman que este programa malicioso está completamente dirigido. Uno de los hechos más alarmantes es que la campaña de ciberataque de Flame está actualmente en fase activa, y su operador está vigilando los sistemas infectados, reuniendo información y dirigiéndose a nuevos sistemas para conseguir sus desconocidas metas”.

Los expertos de Kaspersky Lab están trabajando en el análisis de Flame. Durante los próximos días se revelarán más detalles sobre esta nueva amenaza, según se vayan conociendo. Por el momento, lo que se sabe es que consta de múltiples módulos y que su código ejecutable es 20 veces mayor que el de Stuxnet, lo que significa que el análisis de esta ciberarma requiere de un gran equipo de los mejores expertos en seguridad, e ingenieros con amplia experiencia en el campo de la ciberdefensa.

La ITU usará la red ITU-IMPACT, formada por 142 países y varias empresas, entre ellas Kaspersky Lab, para alertar a los gobiernos y a la comunidad sobre esta ciberamenaza.

Notas recopildas, copiadas y pegadas desde: http://www.google.com.bo/search?q=+malware+Flame&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-a (http://www.google.com.bo/search?q=+malware+Flame&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-a)

(http://www.geekets.com/wp-content/uploads/2012/05/flame.jpg)

(http://img.emol.com/2012/05/28/flame_131424.jpg)

(http://www.legitreviews.com/images/reviews/news/FlameMalware.jpg)

http://foro.elhacker.net/noticias/descubren_flame_un_virus_especializado_en_ciberespionaje-t362963.0.html

aca tambien  ;D

Saludos!

Este video en el Youtube sobre este nuevo supermalware es interesante:

lC_2CcUmRw8

Todavia, Kaspersky no ha publicado el codigo del virus, ¿Pero será que nadie del foro tiene por lo menos una informacion novedosa sobre él? jejeje: Otra Noticia reciente,

http://www.laproximaguerra.com/2012/05/un-nuevo-virus-informatico-ataca-iran.html (http://www.laproximaguerra.com/2012/05/un-nuevo-virus-informatico-ataca-iran.html)

"Symantec, otra empresa de seguridad en Internet, dijo en su blog que el código del bug estaba a la par con el de Stuxnet y Duqu, que lo describió como "podría decirse, las dos piezas más complejas de malware que se han analizado hasta la fecha."

También dijo que los nombres de los archivos determinados en "Flame" eran idénticos a los descritos en un incidente de hacking, en abril en el que estuvo implicado el Ministerio de Petróleo iraní.

Según la empresa, el gusano había estado operando discretamente por lo menos durante dos años y probablemente fue escrito de "una manera organizada, por un grupo de personas bien financiado que trabajan para un conjunto claro de directrices."

Otro video interesante puedes ver aqui: http://www.prisonplanet.com/stuxnet-x20-massive-cyber-spy-virus-flame-hits-iran-israel.html (http://www.prisonplanet.com/stuxnet-x20-massive-cyber-spy-virus-flame-hits-iran-israel.html)

TheFlame es la nueva pieza de software descubierta y propuesta como modelo de ciberarma. Tal como ocurrió con Stuxnet y Duqu, TheFlame resulta muy interesante por su sofisticación técnica, a la vez que alimenta la imaginación de muchos sobre las posibilidades de una guerra cibernética. Veamos en qué consiste este malware y qué conclusiones se pueden sacar de su descubrimiento.

TheFlame vuelve a tener características similares a Stuxnet y Duqu. Vayamos por partes:


Fuente: Securelinst.com
No se trata de un malware que se disperse a discreción. Es el controlador del troyano el que decide a dónde se dirige. Si bien Duqu fue todavía más restrictivo y se encontró en menos de 100 equipos en todo el mundo, TheFlame ha sido encontrado en muchos más, pero no llega a ser masivo. Kaspersky habla de miles.
Parece estar diseñado para el espionaje, por sus características. En este punto, es necesario recordar que no es esta característica la que, de por sí, lo convierte en un malware sofisticado. Hoy en día, SpyEye o Zeus utilizan técnicas de robo de información extremadamente sofisticadas, que nada tienen que envidiar a TheFlame. Por ejemplo, TheFlame es capaz de capturar la pantalla solo cuando aparecen ciertas aplicaciones (como ventanas de mensajería instantánea), exactamente igual que los troyanos bancarios que almacenan en imágenes las pulsaciones del teclado virtual de un banco. También permite obtener información del sistema, registro de las teclas... todo eso está ya al alcance de cualquier creador de malware de poca monta. Sin embargo, lo que lo diferencia es básicamente es nivel de especialización y diversificación: puede comunicarse con bluetooth con otros dispositivos, o grabar conversaciones con el micrófono del sistema. Si bien estas técnicas son perfectamente posibles (incluso existe un plugin para SpyEye que permite grabar con la cámara), es poco común en el malware masivo actual. No interesan por no suponer un medio de lucro directo
       
Está relacionado de nuevo, con países de Medio Oriente, como ocurriera con Duqu y Stuxnet.
   
TheFlame es tremendamente modular. Si Stuxnet o Duqu pesaban menos de 500k, todos los plugins de TheFlame pesan unos 20 megas. Esto le confiere una gran ambivalencia que le permite, si bien no estar diseñado para objetivos concretos, sí poder ser "configurado" para las necesidades de cualquier objetivo. Se podría definir como un "toolkit" de ataque, puesto que no se han encontrado evidencias de víctimas específicas en su código, como ocurrió con Stuxnet.
 
Usa intensivamente el cifrado y el código ofuscado, además de tener partes lógicas escritas en LUA, lenguaje utilizado para videojuegos. LUA es un lenguaje de scripting. Las partes "lógicas" están escritas en LUA, por ejemplo, las órdenes concretas. Luego las ejecuciones las hacen librerías en C. Todo esto hace que Kaspersky estime que estudiarlo por completo les llevará un año. Duqu y Stuxnet también usaban técnicas de programación "inusuales" y pesaban demasiado (alrededor de 500k, cuando un SpyEye "típico" es raro que pase de los 200k) . Con respecto al peso, hay que destacar que otro tipo de malware mucho menos sofisticado, habitualmente creado en Brasil, suele pesar varios megas también.



¿Conclusiones?

Este tipo de incidentes dan pie a todo tipo de elucubraciones y fantasías. ¿Estamos ante una ciberguerra? ¿Debemos prepararnos para un apocalipsis cibernético? No lo sabemos. Por ahora, solo podemos concluir las características esenciales que han compartido las tres piezas de malware calificadas como "ciberarmas" desde 2010 e intentar definir qué las categoriza como tales. Por ejemplo, TheFlame es capaz de infectar un Windows 7 completamente parcheando. De lo que se deduce un una alta probabilidad de que contenga el exploit funcional de una vulnerabilidad desconocida hasta el momento. Al igual que Stuxnet, que contenía hasta cuatro 0-days para Windows, esto le hace muy potente. Le permite gran difusión sin estorbos: pocos sistemas se le resistirán. Esta es sin duda su mayor ventaja.

Como hemos indicado, se habla de que TheFlame ha pasado desapercibido varios años. Se está especulando mucho con respecto a cuándo apareció. La idea de que fue en diciembre de 2007 es simplemente por el nombre de un archivo (wavesup3.drv), pero esto no es definitivo. En VirusTotal la primera muestra que aparece catalogada como tal es del 15 de mayo de 2011, pero, a ciencia cierta, se están detectando (precisamente de Irán y Líbano) muestras de hasta 2010. Y aquí parece estar la otra gran clave. El hecho de que puedan espiar o campar a sus anchas no convierte a estos programas en ciberarmas, sino su capacidad de pasar desapercibidos. Ha sido detectado demasiado tarde. Esta, a nuestro entender, es una de las características que define de forma más acertada las llamadas "ciberarmas": son descubiertas mucho después de que hayan sido distribuidas. Stuxnet salió a la luz en junio de 2010, pero llevaba un año circulando. El núcleo de Duqu tenía fecha de compilación de 2010, aunque fue descubierto en septiembre de 2011. En el caso de TheFlame, se sospecha que podía haber sido creado igualmente en 2010 o incluso antes, en fechas similares a las de Stuxnet y Duqu (otro indicio por el que se cree que están relacionados). Por tanto, podíamos estar hablando de al menos dos años pasando totalmente desapercibido para las víctimas, investigadores y casas antivirus.

Ante esto, lo asombroso no es que existan este tipo de programas que permiten espiar, sino más bien, la posibilidad de que se puedan eludir durante tanto tiempo todas las medidas de seguridad conocidas. Y para conseguirlo, simplemente sea necesario huir de los lugares comunes del malware masivo.

Esto dice muy poco en favor de las medidas de seguridad que se están aplicando contra las amenazas actuales. Y podemos incluir en este saco desde el software antivirus, hasta las políticas de seguridad, pasando por los IDS o los cortafuegos, los administradores y los auditores (en el caso de que existan en los sistemas infectados…... que no han sido pocos). Todos han fallado, aun estado perfectamente capacitados para detenerlo o al menos detectarlo. Y cuando esto ocurre, es que algo se está enfocando de manera equivocada. Si bien ya tenemos problemas para mantener a raya el malware masivo, el que se sale un poco del cuadro preestablecido tiene todas las posibilidades de eludirlos con éxito y, por tanto, convertirse en "ciberarma". En general, quizás el problema es que seguimos todavía bajo el yugo de la "lista negra/lista blanca": bloqueamos lo que creemos que puede ser dañino o dejamos pasar lo que tenemos anotado que es benigno, y aplicamos indiscriminadamente este concepto para protegernos de todo a cualquier nivel... y este modelo, por sí solo, se está demostrando ineficaz.

Fuente: http://unaaldia.hispasec.com/2012/05/theflame-reflexiones-sobre-otra.html.

Lo mejor que eh leído por el momento de Flame.

Gracias por el aporte, jpmo4. Pero todas las noticias tienen como fuente primaria la pagina de KASPERSKY.

Esta es la primera nota: http://www.kaspersky.com/about/news/virus/2012/Kaspersky_Lab_and_ITU_Research_Reveals_New_Advanced_Cyber_Threat (http://www.kaspersky.com/about/news/virus/2012/Kaspersky_Lab_and_ITU_Research_Reveals_New_Advanced_Cyber_Threat)

Este es un examen, un analisis detallado del funcionamiento de FLAME: https://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers (https://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers)

Pero todavia Kaspersky no ha detallado nada sobre su codigo, ni lo hará. Pero de estas dos fuentes, que originaron todas las noticias y articulos posteriores, se puede sacar algunas conclusiones.

1) Flame es un backdoor y al mismo tiempo un gusano que puede replicarse en una red local ó un pendrive.

2) Utiliza la vulnerabilidad MS 10-033 para sus ataques (Todavia no esta realmente confirmado esto).

3) Flame consiste de 20 modulos que hacen desde captura de pantalla, grabar audio, etc,. Bien como se detalló en el post y en tu respuesta. Flame es un enorme paquete de módulos que comprenden casi 20 MB, cuando esta operativo. Es grande, pues, Flame contiene diferentes librerias como para la comprension (zlib, libbzz, PPMD) y la manipulación de bases de datos (squilite3), junto con una maquina virtual de LUA.

4) LUA es un lenguaje de scripts escrita a partir de C que utiliza la biblioteca de C++.  LUA se carga utilizando varios DLL del propios Sistema Operativo, es como si un OS "fantasma" arrancase simultaneamente con el SO original.

5) Las caracteristicas aisladas de FLAME no es gran cosa, ya que no tiene nada novedoso que otros virus no lo hagan, pero lo novedoso es la juncion de todos los ataques y xploits en un solo virus, principalmnente la caracteristica de controlar dispositivos bluetooth. Esto hace de FLAME el malware más conocido hasta hoy, segun Kaspersky.

6) Hay varios servidores de FLAME en todo el Mundo, servidores que monitorean cada tecla presionada, cada mensaje de messenger o el chat de facebook, correos electronicos, incluso grabando conversaciones de las oficinas de las organizaciones del oriente medio. Y ahi esta la pista, kaspersky dice que es imposible que una sola persona ó un grupo de hackers tenga hecho tamaña obra de ingenieria informatica, esto es obra de un Estado-nación. Y como los "blancos" son organizaciones del oriente medio, es muy facil deducir que pais esta por de tras de todo esto: Estados Unidos.

Hago mía la pregunta del texto anterior: ¿Ha empezado la cyberguerra?

(http://3.bp.blogspot.com/_175quljOWdY/TQN-GpC4YZI/AAAAAAAABb8/_arhtPnv62c/s1600/la+proxima+guerra+ciberguerra+mundial.jpg)

Conclusion de KASPERSKY en la ultima hora, FLAME es una ARMA CIBERNETICA utilizada en contra determinados paises. Esto de arma cybernetica es realemnte asustador.

"Una empresa rusa descubre un nuevo y poderoso virus informático usado como arma

(AFP) – hace 7 horas

MOSCÚ — La empresa rusa Kaspersky, que desarrolla programas de protección para ordenadores, anunció este martes haber identificado un nuevo virus informático de potencial destructor sin precedentes, utilizado como un arma cibernética contra varios países.

La firma reveló haber identificado el nuevo virus, denominado Flame, durante una investigación iniciada por la Unión Internacional de Telecomunicaciones (UIT). Este virus "es actualmente utilizado como un arma cibernética contra una serie de países", informó Kaspersky Lab en un comunicado.

"La complejidad y la funcionalidad del programa recientemente detectado supera las de todas las otras amenazas conocidas hasta ahora", destacó la firma. De acuerdo con el laboratorio ruso, Flame es "veinte veces más importante que Stuxnet", un virus descubierto en 2010 y que tenía como objetivo atacar el programa nuclear iraní.

Kaspersky aseguró que Flame "puede robar informaciones importantes y no solo las que estén contenidas en computadoras, sino también documentos archivados, contactos y hasta grabaciones de audio de conversaciones".

La firma no identificó a los países contra los cuales era utilizado este virus, pero añadió que el descubrimiento ocurrió como parte de investigaciones sobre incidentes con otro virus, aún desconocido, que borra informaciones en computadoras en la región del "oeste de Asia". La prensa europea sugiere que Flame fue utilizado para atacar el sector petrolero de Irán, en especial el Ministerio de Petróleo y el principal terminal de ese país.

"Los descubrimientos preliminares indican que este programa está circulando desde hace más de dos años, desde marzo de 2010", añadió el informe de Kaspersky Lab. Por su parte, el centro iraní Maher, de coordinación para la lucha contra ataques informáticos, anunció haber desarrollado un programa capaz de identificar a Flame y destruirlo.

De acuerdo con esta institución, los programadores iraníes "tuvieron éxito en la identificación del virus Flame, y en la preparación de un programa capaz de eliminarlo". Ese programa de protección "está a disposición de los órganos del gobierno que lo deseen", informó la entidad, sin mencionar los eventuales daños provocados por Flame en Irán.

La agencia de prensa iraní Fars informó que Flame "es responsable del robo de información a gran escala en las últimas semanas". Poco después del anuncio de Kaspersky, el ministro de Asuntos Estratégicos israelí, Moshé Yaalon, justificó este martes en Jerusalén la utilización de virus informáticos como Flame para contener lo que considera la amenaza nuclear iraní.

"Está justificado, por quien considere la amenaza iraní como una amenaza significativa, tomar diferentes medidas, incluida esta, para detenerla", dijo Yaalon, alimentando así las especulaciones sobre el papel de Israel en el desarrollo y distribución de ese virus informático. "Israel posee lo más avanzado de las nuevas tecnología y estas herramientas nos ofrecen todo tipo de posibilidades", dijo Yaalon a la radio militar".

Copyright © 2012 AFP. Todos los derechos reservados
http://www.google.com/hostednews/afp/article/ALeqM5hcziGpw0Wue2UVSpK07ow6hq5c5Q?docId=CNG.63ef401ba1814d3ae6d336c5dcb1e74a.e1 (http://www.google.com/hostednews/afp/article/ALeqM5hcziGpw0Wue2UVSpK07ow6hq5c5Q?docId=CNG.63ef401ba1814d3ae6d336c5dcb1e74a.e1)

(http://www.topnewstoday.org/i5/3/14/77/img_2377143_620.jpg)

EURONEWS:

Fuente: http://es.euronews.com/2012/05/29/el-virus-flame-abre-nueva-etapa-en-la-ciberguerra/ (http://es.euronews.com/2012/05/29/el-virus-flame-abre-nueva-etapa-en-la-ciberguerra/)

Gracias a todos por las informaciones es sumamente interesante y es hora de que estos gobiernos paren sus ataques o realmente la cyberguerra será real.

No me sorprende que USA e Israel sean los responsables.

Sí, estoy recibiendo muchas notificaciones de noticias publicadas en Google, pero nada importante, nada del codigo todavia. Ah, arriba hay un error:
5) Las caracteristicas aisladas de FLAME no es gran cosa, ya que no tiene nada novedoso que otros virus no lo hagan, pero lo novedoso es la juncion de todos los ataques y xploits en un solo virus, principalmnente la caracteristica de controlar dispositivos bluetooth. Esto hace de FLAME el malware más conocido hasta hoy, segun Kaspersky.


Quice decir que:

Bitdefender lanza herramienta gratuita para combatir a Flame

Ayer supimos de la existencia del peligroso malware espía Flame, un avanzado y sofisticado virus desarrollado por desconocidos y utilizado para el robo de información a través de complejas vías. A raíz de esto, Bitdefender, una empresa de seguridad informática creó una herramienta para eliminar el malware desde los ordenadores infectados y la puso a disposición de los cibernautas de manera gratuita.

Flame, el virus más poderoso y complejo que se conoce hasta hoy, causó estragos en Oriente medio, luego de haber infectado una gran cantidad de ordenadores y robado una cantidad indeterminada de información.

El malware fue descubierto por Kaspersky Lab, una compañía de seguridad informática, quienes alertaron inmediatamente al mundo.

Entre sus características más peligrosas están su capacidad para intervenir correos electrónicos y mensajería instantánea, grabar conversaciones a través del micrófono del ordenador, realizar capturas de pantalla, espiar el tráfico de internet del infectado y enviar toda la información obtenida directamente al hacker.

Sin embargo, sus días podrían llegar a su fin muy pronto, ya que otra agencia de seguridad informática, Bitdefender, anunció en su página web el desarrollo de una herramienta para eliminar dicho malware de manera –esperamos- definitiva, y publicó el enlace para descargarlo de manera totalmente gratuita.

Según la compañía, el virus –identificado por ellos como Trojan.Flamer.A- lleva operativo un poco más de dos años, incluso desde antes que aparecieran Stuxnet y Duku, que fueron malwares temibles durante 2010. “Todo este tiempo- explica el portal de la compañía- ha estado operando discretamente, e incluso si alguno de sus componentes fue detectado cuando se descubrió Stuxnet, la industria de los antivirus no pudo ver cuan profunda era su operación”, menciona el sitio.

El portal además explica algunas características del virus espía, un poco de su historia y cómo lograron aislar ciertos elementos componentes del troyano, detallando su composición y, finalmente, publicando el enlace para descargar la herramienta para eliminar Flame.

Fuente: http://www.inteldig.com/2012/05/bitdefender-lanza-herramienta-gratuita-para-combatir-a-flame/ (http://www.inteldig.com/2012/05/bitdefender-lanza-herramienta-gratuita-para-combatir-a-flame/)

UPDATED: Cyber Espionage Reaches New Levels with Flamer

Download the 32-bit or the 64-bit removal tools and find out if you’re infected with  Flamer, the world’s most discrete and dangerous piece of malware ever. If you are already protected by a Bitdefender security solution, you do not need to run the removal tool.

Update 1: We have just discovered that Trojan.Flamer.A comes with yet another controversial component, suggestively named SUICIDE. This component is used to automatically clean up the system when the appropriate command is issued by remote attackers. The SUICIDE module references more than 70 files (part of the Flamer framework) that should be wiped out from the system in order to deter any forensics analysis on the system. The referenced files are listed below:

 SUICIDE.RESIDUAL_FILES.A string %temp%\~a28.tmp
 SUICIDE.RESIDUAL_FILES.B string %temp%\~DFL542.tmp
 SUICIDE.RESIDUAL_FILES.C string %temp%\~DFL543.tmp
 SUICIDE.RESIDUAL_FILES.D string %temp%\~DFL544.tmp
 SUICIDE.RESIDUAL_FILES.E string %temp%\~DFL545.tmp
 SUICIDE.RESIDUAL_FILES.F string %temp%\~DFL546.tmp
 SUICIDE.RESIDUAL_FILES.G string %temp%\~dra51.tmp
 SUICIDE.RESIDUAL_FILES.H string %temp%\~dra52.tmp
 SUICIDE.RESIDUAL_FILES.I string %temp%\~fghz.tmp
 SUICIDE.RESIDUAL_FILES.J string %temp%\~rei524.tmp
 SUICIDE.RESIDUAL_FILES.K string %temp%\~rei525.tmp
 SUICIDE.RESIDUAL_FILES.L string %temp%\~TFL848.tmp
 SUICIDE.RESIDUAL_FILES.M string %temp%\~TFL849.tmp
 SUICIDE.RESIDUAL_FILES.N string %temp%\~ZFF042.tmp
 SUICIDE.RESIDUAL_FILES.O string %temp%\GRb9M2.bat
 SUICIDE.RESIDUAL_FILES.P string %temp%\indsvc32.ocx
 SUICIDE.RESIDUAL_FILES.Q string %temp%\scaud32.exe
 SUICIDE.RESIDUAL_FILES.R string %temp%\scsec32.exe
 SUICIDE.RESIDUAL_FILES.S string %temp%\sdclt32.exe
 SUICIDE.RESIDUAL_FILES.T string %temp%\sstab.dat
 SUICIDE.RESIDUAL_FILES.U string %temp%\sstab15.dat
 SUICIDE.RESIDUAL_FILES.V string %temp%\winrt32.dll
 SUICIDE.RESIDUAL_FILES.W string %temp%\winrt32.ocx
 SUICIDE.RESIDUAL_FILES.X string %temp%\wpab32.bat
 SUICIDE.RESIDUAL_FILES.Z string %windir%\system32\commgr32.dll
 SUICIDE.RESIDUAL_FILES.A1 string %windir%\system32\comspol32.dll
 SUICIDE.RESIDUAL_FILES.A2 string %windir%\system32\comspol32.ocx
 SUICIDE.RESIDUAL_FILES.A3 string %windir%\system32\indsvc32.dll
 SUICIDE.RESIDUAL_FILES.A4 string %windir%\system32\indsvc32.ocx
 SUICIDE.RESIDUAL_FILES.A5 string %windir%\system32\modevga.com
 SUICIDE.RESIDUAL_FILES.A6 string %windir%\system32\mssui.drv
 SUICIDE.RESIDUAL_FILES.A7 string %windir%\system32\scaud32.exe
 SUICIDE.RESIDUAL_FILES.A8 string %windir%\system32\sdclt32.exe
 SUICIDE.RESIDUAL_FILES.A9 string %windir%\system32\watchxb.sys
 SUICIDE.RESIDUAL_FILES.A10 string %windir%\system32\winconf32.ocx
 SUICIDE.RESIDUAL_FILES.A11 string %COMMONPROGRAMFILES%\Microsoft Shared\MSSecurityMgr\rccache.dat
 SUICIDE.RESIDUAL_FILES.A12 string %windir%\system32\mssvc32.ocx
 SUICIDE.RESIDUAL_FILES.A13 string %COMMONPROGRAMFILES%\Microsoft Shared\MSSecurityMgr\dstrlog.dat
 SUICIDE.RESIDUAL_FILES.A14 string %COMMONPROGRAMFILES%\Microsoft Shared\MSAudio\dstrlog.dat
 SUICIDE.RESIDUAL_FILES.A15 string %COMMONPROGRAMFILES%\Microsoft Shared\MSSecurityMgr\dstrlogh.dat
 SUICIDE.RESIDUAL_FILES.A16 string %COMMONPROGRAMFILES%\Microsoft Shared\MSAudio\dstrlogh.dat
 SUICIDE.RESIDUAL_FILES.A17 string %SYSTEMROOT%\Temp\~8C5FF6C.tmp
 SUICIDE.RESIDUAL_FILES.A18 string %windir%\system32\sstab0.dat
 SUICIDE.RESIDUAL_FILES.A19 string %windir%\system32\sstab1.dat
 SUICIDE.RESIDUAL_FILES.A20 string %windir%\system32\sstab2.dat
 SUICIDE.RESIDUAL_FILES.A21 string %windir%\system32\sstab3.dat
 SUICIDE.RESIDUAL_FILES.A22 string %windir%\system32\sstab4.dat
 SUICIDE.RESIDUAL_FILES.A23 string %windir%\system32\sstab5.dat
 SUICIDE.RESIDUAL_FILES.A24 string %windir%\system32\sstab6.dat
 SUICIDE.RESIDUAL_FILES.A25 string %windir%\system32\sstab7.dat
 SUICIDE.RESIDUAL_FILES.A26 string %windir%\system32\sstab8.dat
 SUICIDE.RESIDUAL_FILES.A27 string %windir%\system32\sstab9.dat
 SUICIDE.RESIDUAL_FILES.A28 string %windir%\system32\sstab10.dat
 SUICIDE.RESIDUAL_FILES.A29 string %windir%\system32\sstab.dat
 SUICIDE.RESIDUAL_FILES.B1 string %temp%\~HLV751.tmp
 SUICIDE.RESIDUAL_FILES.B2 string %temp%\~KWI988.tmp
 SUICIDE.RESIDUAL_FILES.B3 string %temp%\~KWI989.tmp
 SUICIDE.RESIDUAL_FILES.B4 string %temp%\~HLV084.tmp
 SUICIDE.RESIDUAL_FILES.B5 string %temp%\~HLV294.tmp
 SUICIDE.RESIDUAL_FILES.B6 string %temp%\~HLV927.tmp
 SUICIDE.RESIDUAL_FILES.B7 string %temp%\~HLV473.tmp
 SUICIDE.RESIDUAL_FILES.B8 string %windir%\system32\nteps32.ocx
 SUICIDE.RESIDUAL_FILES.B9 string %windir%\system32\advnetcfg.ocx
 SUICIDE.RESIDUAL_FILES.B10 string %windir%\system32\ccalc32.sys
 SUICIDE.RESIDUAL_FILES.B11 string %windir%\system32\boot32drv.sys
 SUICIDE.RESIDUAL_FILES.B12 string %windir%\system32\soapr32.ocx
 SUICIDE.RESIDUAL_FILES.B13 string %temp%\~rf288.tmp
 SUICIDE.RESIDUAL_FILES.B14 string %temp%\~dra53.tmp
 SUICIDE.RESIDUAL_FILES.B15 string %systemroot%\system32\msglu32.ocx

 

The discovery of Stuxnet back in 2010 sparked intense debate on the state of security in cyber-space. But, even though Stuxnet has been successfully identified, isolated and dealt with, its predecessor (and companion, as well) has managed to remain undetected all this time by employing stunning tactics that likely make it the most advanced e-threat in the world to date.

When state-of-the-art malware detection works against intelligence gathering

This new e-threat, identified by Bitdefender as Trojan.Flamer.A appears to have emerged before Stuxnet and Duqu hit. All this time, it has operated discreetly, and even if it some of its components were detected when Stuxnet was discovered, the AV industry couldn’t see how deep the operation ran.

On average, between 15,000 and 35,000 unique malware samples appear daily, which makes manual analysis or individual identification technically unfeasible. Most antivirus vendors rely on generic detections and heuristics to cover as much as possible of this malicious pool. Subsequently, the features Flamer.A shared with Stuxnet made antivirus products detect it as a generic Stuxnet sample. This, along with some other technical features allowed it stay hidden, although its operation was impacted.

At a glance, the Flamer.A Trojan appears much more advanced than Stuxnet. This complex and flexible piece of malware was built using a variety of technologies ranging from LUA scripting to assembly language. Its modular structure makes it extremely flexible and apparently able to carry out any task for its attackers.

The Flamer Trojan includes a spying component, called nteps32.ocx. This component, named REAR_WINDOW has an earlier version called comspol32.ocx that has definitely been around since the end of 2010 and is well detected by antivirus vendors with miscellaneous signatures.

Bitdefender also managed to isolate a new component called atmpsvcn.ocx that dates approximately in October 2010 and that is also detected as Stuxnet. Its purpose is unknown yet, as it is pending analysis, but preliminary data point to it being used for USB drive spreading and detection of AV solutions installed on the PC.

We mentioned that Flamer.A makes heavy use of LUA scripts. Bitdefender identified 62 such scripts used by the malware to control everything, from loading the OCX modules to regulating data exchange between these components. Among others, these highly specialized LUA modules can circumvent some antivirus solutions, control the theft of information from the infected PC or download new malicious components as they get updated. Combined, these LUA scripts are built of more than 6500 lines of code.

SSL encryption working against the user

If encrypting data as it gets sent over the web is usually beneficial for the user, Flamer.A uses it against them. The infected PCs connect to an array of servers to which they send encrypted data over HTTPS.  The data packages we intercepted and decrypted were buffers of about 100 kilobytes that apparently carry files with various sizes. The one we intercepted was 108.116 bytes and was encrypted with the “LifeStyle2” password, but using a currently unknown algorithm. This might be either a file leaked from the infected PC or an activity log file sent to the C&C. It also appears that the file was sent by the leak_app.lua script.

(http://muyseguridad.net/wp-content/uploads/2012/02/BitdefenderQuickscan.jpg)

Fuente: http://labs.bitdefender.com/2012/05/cyber-espionage-reaches-new-levels-with-flamer/ (http://labs.bitdefender.com/2012/05/cyber-espionage-reaches-new-levels-with-flamer/)

http://labs.bitdefender.com/wp-content/plugins/download-monitor/download.php?id=TrojanFlamer_BDRemovalToolDropper_x86.exe

ahi el link de la herramienta que remueve el virus.

Enlaces de descarga para la herramienta que elimina el Flame

Sistemas 32 Bits:

http://labs.bitdefender.com/wp-content/uploads/downloads/2012/05/TrojanFlamer_BDRemovalToolDropper_x86.exe (http://labs.bitdefender.com/wp-content/uploads/downloads/2012/05/TrojanFlamer_BDRemovalToolDropper_x86.exe)

Sistemas 64 Bits:
http://labs.bitdefender.com/wp-content/uploads/downloads/2012/05/TrojanFlamer_BDRemovalToolDropper_x64.exe (http://labs.bitdefender.com/wp-content/uploads/downloads/2012/05/TrojanFlamer_BDRemovalToolDropper_x64.exe)

Saludos desde Bolivia.

(http://cdn3.digitaltrends.com/wp-content/uploads/cache/2012/05/Flame/2794622481.jpg)

Grais DonVidela, fuiste segundos más rapido que yo. Saludos. Por si las moscas, ya descargué la herramienta.

(http://www.cisco.com/en/US/prod/collateral/video/ps9901/ps10631/images/product_bulletin_c25-677835-2.jpg)

Yo no la he descargado, pero estaré atento ante cualquier novedad tuya, saludos compadre.

Bueno, ahi estamos. Como es esta velocidad de información, ayer tornan publico el virus FLAME, hoy tornan publico el antivirus par este malware. Y pensar que me bisuabuelo tenía que esperar meses para saber una noticia de Europa. ¡Qué Viva Internet! Ah, y scanneé mi PC con la herramienta esta, estoy libre de FLAME, jajajaja.  ;D

Saludos, cumpa.

Ah, otra cosa, este Virus fue testeado con 43 scanners, y ninguno lo detectó. Pues, este virus, solo funciona cuando sus "controladores humanos" lo quieren. No tiene autonomia, es activado y desactivado por los servidores. Que tipos más pendejos para esto.

Hay una micro discusion sobre el tema en el foro de AVAST: http://forum.avast.com/index.php?topic=98966.0 (http://forum.avast.com/index.php?topic=98966.0)

A ver si AVAST tanbiem pone este virus para actualizar su base de datos, jejeje.

(http://www.pcactual.com/medio/2011/12/21/avast_free_antivirus_6.jpg)

Este no es el malware que han encontrado en irán?

Es de fabricación gubernamental por lo que parece.

Sabéis de alguien que se haya infectado??

Exactamente, M0rf, se lees todo el post, te ambientarás  ;D

Kaspersky ya dijo que solo puede ser de fabricacion gubernamental XD

Sobre si alguien que fue infectado, Kaspersky no divulga nada, pues no puede por la politica de privacidad hacia sus clientes, pero dicen que principalmente ataca a organizaciones gubernamentales de irán. Es maniobra de Estados Unidos para impedir el desarrollo nuclear iraní. Sin hablar que este año unos 7 fisicos nucleares fueron asesinados en Iran.

Irán ejecutó a un agente israelí por el asesinato de un físico
http://www.telam.com.ar/nota/25163/ (http://www.telam.com.ar/nota/25163/)

(http://pic.lg.ua/x/8/3e719a/d71b2d92.jpg)

Yo creo que más de un país, tiene un arsenal de exploits 0-day esperando para ser utilizados. Sobretodo EEUU, Rusia y China.

Y RAT's como este también deben tener más de uno en la recamara para cuando haga falta.

Se viene interesante el futuro : )

Sí, mas de un pais, y por la manifestación geografica del Virus, IRÁN,  solo puede ser obra de EE.UU y el estado de Israel.  ::)

ONU DECLARARÁ VIRUS FLAME COMO AMENAZA A LAS NACIONES

ONU advertirá del riesgo del virus informático "Flame"
29 de Mayo, 2012
La agencia de las Naciones Unidas encargada de ayudar a los estados miembros a asegurar sus infraestructuras nacionales prevé emitir una advertencia rigurosa sobre el riesgo del virus "Flame", recientemente descubierto en Irán y otras zonas de Oriente Medio.
________________________________________
La agencia de las Naciones Unidas encargada de ayudar a los estados miembros a asegurar sus infraestructuras nacionales prevé emitir una advertencia rigurosa sobre el riesgo del virus "Flame", recientemente descubierto en Irán y otras zonas de Oriente Medio.

"Es la advertencia más seria que hemos emitido", dijo Marco Obiso, coordinador de ciberseguridad de la Unión Internacional de Telecomunicaciones de la ONU.

La advertencia confidencial comunicará a los países miembros que el virus "Flame" es una peligrosa herramienta de espionaje que podría ser usada potencialmente para atacar infraestructuras críticas, dijo en una entrevista.

"Tienen que estar alerta", añadió.

La evidencia sugiere que el virus podría haber sido desarrollado para el mismo país o países que encargaron el gusano Stuxnet, virus que atacó al programa nuclear de Irán en el 2010, según Kaspersky Lab, el fabricante ruso de programas de seguridad informática que dijo haber descubierto el virus.

"Creo que es mucho más serio que el Stuxnet", dijo Obiso.

Añadió que la agencia desarrollará un programa para reunir información, incluidas muestras de virus, para rastrear la expansión de "Flame" por el mundo y observar cualquier cambio en su composición.

Kaspersky Lab dijo que halló a "Flame" luego de que la agencia de la ONU le solicitó investigar los recientes reportes de Irán de que un misterioso virus era el responsable de la pérdida masiva de datos en algunos sistemas informáticos.

Hasta el momento, Kaspersky Lab no ha entregado el virus original que estaba buscando y el Gobierno iraní tampoco le dio a la firma una muestra del programa, dijo Obiso.

(http://hunna.org/wp-content/uploads/2011/03/onu.jpg)

Cinco datos clave sobre Flame, el virus informático espía

Flame es la herramienta de robo de datos más completa encontrada hasta la fecha.

Las investigaciones han arrojado nuevos datos sobre la extensión de la ciberguerra en que se hayan inmersas las naciones con el descubrimiento de un virus llamado 'Flame'.
El laboratorio Kaspersky, que el lunes aseguró haber descubierto el 'Flame', creen que el virus puede ser obra de la misma nación o naciones que crearon el gusano 'Stuxnet' que atacó el programa nuclear iraní en 2010.
A continuación, cinco datos clave sobre el Flame según las investigaciones del laboratorio Kaspersky:
Complejidad: Se trata de una de las más sofisticadas muestras de software malicioso que se han descubierto jamás. Tiene un código 20 veces mayor que el del 'Stuxnet'. Se ha construido con unos 20 módulos, y los investigadores aún no saben el propósito completo de la mayoría de ellos.
Amplitud: Se trata de la herramienta de robo de datos más completa encontrada hasta la fecha. Puede grabar sonidos, acceder a comunicaciones por Bluetooth, hacer capturas de pantalla y unirse a conversaciones de Messenger.
Red: Los creadores del virus emplearon una red de unos 80 servidores por todo Asia, Europa y Norteamérica para acceder remotamente a dispositivos infectados. Puede cambiar los ajustes de los ordenadores y robar información silenciosamente.
Víctimas: El mayor número de ordenadores infectados se encontró en Irán, seguido de Israel y Palestina. El virus también llegó a Sudán, Siria, Líbano, Arabia Saudí y Egipto. Los investigadores de Kaspersky estiman que en todo el mundo se infectaron entre 1.000 y 5.000 dispositivos.
Autor: Los investigadores de Kaspersky declinaron aventurar qué nación o naciones están tras 'Flame'. Los creadores de 'Stuxnet' y 'Flame' emplearon técnicas similares para infectar los ordenadores, lo que sugiere que eran proyectos "paralelos" respaldados por la misma nación.

(http://a.abcnews.go.com/images/US/gty_flame_virus_nt_120528_wg.jpg)

SEGUN EL ESTADO DE ISRAEL:''El virus es un medio razonable de ataque contra Irán''


"Israel ha sido bendecido por el hecho de ser un país con una alta tecnología floreciente; estas herramientas nos abren toda una serie de posibilidades", afirmó.

El virus Flame fue descubierto ayer por la compañía de seguridad informática Kaspersky.

Se trata de un nuevo virus con una estructura tecnológica que hasta el momento era completamente desconocida. Una vez que la computadora es infectada, el virus comienza a revisar todo el tráfico de la red, fotografía la pantalla de la computadora, copia las pulsaciones del tecleado, activa el micrófono interno de la computadora (si lo tiene), graba conversaciones, recoleta otros tipos de información y traslada a los activadores del virus la administración y el control del sistema a través de la red.

A partir de allí, los activadores del virus pueden decidir ingresar otras partes del virus a otras computadoras específicas.

La empresa Kaspersky sostiene que el virus sólo pudo ser desarrollado por un equipo colectivo inteligente, tal como un país desarrollado.

Se estima que este virus comenzó a actuar desde el año 2007.

Radio Jai (Aurora)

(http://s.libertaddigital.com/fotos/noticias/su-moshe-yaalon.jpg)

FUENTE:http://news.google.com/news/story?q=FLAME+VIRUS&hl=es&client=firefox-a&hs=5ab&rls=org.mozilla:es-ES:official&prmd=imvnsua&bav=on.2,or.r_gc.r_pw.r_qf.,cf.osb&biw=1024&bih=638&um=1&ie=UTF-8&ncl=dBkYXpe97VBKqiM59vp1jpY9-DDtM&ei=WqDFT-KMB6Xl6QGKu_WpBg&sa=X&oi=news_result&ct=more-results&resnum=1&ved=0CCsQqgIwAA&vanilla=0[/quote]] (http://[quote)[/url]  ;D

No se si os acordais de :
El FBI creará una herramienta para monitorizar las redes sociales y anticiparse a situaciones de emergencia,hasta incluso montaron un concurso o algo asi ,para que habia gente que quisiera participar(reclutar programadores);ellos saben que en la red hay mucho terrorista suelto y como tienen gente encargada de medir risgos terroristas ,pues se temen lo peor algo tienen que hacer ;yo personalmente creo que el  proximo ataque de al-Qaeda va morir mucha gente ,ya que va a ser de lo nunca visto hasta ahora y no tan solo en Estados unidos(esperemos que me engañe) :-\

H1tchclock Gracias nuevamente por el update, saludos.

Tienes razón, por xman6, el facebook ya cuenta con algo parecido, es el CARNIVORO, el programa de monitoreamento de la CIA, muy comentado en los circulos de teoricos de la conspiración, pero algo de verdad debe tener, veniendo de EE.UU, todo control es posible. El grupo terrorista Al-Qaeda, es un grupo criminal, pero Estados Unidos utiliza esto como excusa para mantener su control en el Mundo entero. Esto es deplorable.

¿Qué es Echelón y Carnívoro?

Este programa es capaz de vigilar, a través de satélites espía y estaciones de escucha, cualquier tipo de comunicación electrónica que atraviese Estados Unidos u otros países. El sistema Echelon es una inmensa red de espionaje que, utilizando más de 120 satélites y gigantescas redes de computadoras, intercepta millones de llamadas telefónicas, emails y faxes en todo el mundo, inclusive Latinoamérica y de Argentina.

Se espía con fines militares, con fines políticos, con fines económicos. Los satélites espías recolectan una inmensa cantidad de mensajes y las remiten a las antenas parabólicas que, a su vez, las reenvían a computadoras que buscan en los mensajes palabras clave. Los despachos seleccionados son sometidos a un nuevo proceso de selección en las agencias de espionaje para detectar datos de interés.

Por ello, se ha apelado a procedimientos informatizados de reconocimiento de voz y de contexto, y de búsqueda de palabras. Los mensajes intervenidos cotejados en un "diccionario" en busca de concordancias. Si se haya alguna (digamos si un mensaje incluye las palabras Clinton y Asesinato), el mensaje es enviado a donde corresponda.

Conversaciones telefónicas, faxes, telex, correo electrónico y señales de radio (incluyendo entre estas últimas a la onda corta y frecuencias de líneas aéreas y marítimas. Cualquier tipo de comunicación entre al menos dos puntos que se realice a través de satélites o microondas es probable que sea "pinchada".

Echelon lo intercepta TODO. Su espina dorsal lo compone un conjunto de estaciones en tierra que enlaza con una red de satélites de interceptación. La estación de Morwenstow (Reino Unido) se encarga de coordinar las intercepciones de los satélites de comunicación Intelsat ubicados Europa y los océanos Atlántico e Índico.

Dos estaciones más Menwith Hill, RU y Bad Aibling, (Alemania) se encargan de los satélites no-Intelsat. Pero Echelon lo vigila todo, no simplemente los satélites. ¿Quieren captar directamente las señales de los teléfonos móviles? La respuesta es un buen satélite que rastree en frecuencias de microondas.

¿Es necesario intervenir un cable de telefonía submarina? Para eso se puede disponer del minisubmarino USS Parche (nombre real). ¿Cables de fibra óptica? Un pequeño receptor en los convertidores optoelectrónicos cumplen la función. ¿Comunicaciones por Internet? Tampoco hay problemas. Lo más increíble de todo es que este gigantesco sistema de interceptación lleva husmeando en el tráfico civil desde su concepción en los años setenta.

Echelon en Latinoamérica

Las comunicaciones latinoamericanas son sistemáticamente monitoreadas desde cuatro bases de intercepción, y también Europa nos espía, revela en Clarín el escocés Duncan Campbell, periodista de investigación, consultor del Parlamento Europeo en materia de inteligencia y comunicaciones y actualmente el más renombrado experto en política electrónica.

Como perturbar a Echelon

La estructura de Echelon es bastante más impresionante de lo que imaginaría un ciudadano "de a pie", diría en realidad que le parecería de ciencia ficción, pero tiene menos envergadura que la que podría presuponer una persona afín con estos temas que no tuviera detalles de la misma.

La razón es que Echelon cuenta con una estructura muy bien organizada y en la que se podría decir que existe un principio de "optimización" de la gestión. Este principio de optimización es la clave para que sea operativo pero, al mismo tiempo, es su punto débil. Si quiere ser eficaz en sus acciones para perturbar Echelon, deberá respetar una serie de principios.

A continuación se los detallamos de forma que los pueda seguir.

1º. El sistema es capaz de discriminar el "spam" o repeticiones simples. También es posible que pueda ignorarlos en emisiones sucesivas. Por consiguiente, recomendamos no repetir textos. Procure que sean originales generando variantes, aunque sea sobre un mismo tema.

2º. Es también probable que elimine términos incoherentes, salvo que los sistemas de detección de cifrado los pudiera considerar de ese modo, pero, en ese caso, no creemos que las palabras clave fueran identificadas abiertamente. Redacte pues textos con sentido.

3º. Un sólo día de emisión puede que resulte fácilmente salvable por la Organización. Lo que realmente crearía problemas es que todos incluyéramos en nuestros envíos diarios algún texto con palabras clave.

Lista de palabras clave.

Armar metatags con las palabras, se desvirtúan los procesos y se satura la máquina en su diccionario, llevándolo a ninguna parte. Habiéndoles perder horas / máquina y horas / hombre.

Enfopol, Gadafi, V.O.A., uranio, plutonio, RAN, Torrejón, Kennedy, NATO, ETA, F80, submarino, Antártida, megatones, subversivo, Serra, Dzokhar Dudayev, unabomber, UKUSA, NSA, FBI, CIA, NASA, hacker, Pekin, Mao, heroina, Bill Gates, DEA, Ginebra, Chechenia, Ami Ayalom, Bruselas, Yelsin, mafia, Jeff O'Connor, M.A.F.I.A.,HB, Pervez Musharraf, talibán, Romano Prodi, afgano, Barry McCaffrey, Nawaz Sharif, Atal Behari Vajpayee, Jaswant Singh, Ved Prakash Malik, Wiranto, Yusuf Habibie, General, portaviones, Hamás, Shin Beth, OLP, antiaerea, Bill Clinton, TPCPN, Jesse Helms, Trent Lott, Abu Jamal, AFL-CIO, Ernesto Zedillo, cartel, PRI, Pinochet, Rosso José Serrano, Vaticano, Helmer Villafanía, Janet Reno, Bruselas,Yihad Islámica, Comisión Europea, Ehud Bark, Oscar SS-N-27, Tampere, UE, euro, Yasir Arafat, Yuri Scurátov, Microsoft,etc...

Un gran carnívoro de email

Carnívoro es un programa que han metido nuestros patrones del norte, donde se registra cualquier palabra como terrorismo, bomba, drogas, etc. para realizar un rastreo en busca de posibles delitos. En realidad la madre del cordero es Echelon. Carnivor solamente es una consecuencia "lógica".

El FBI inventó un sistema para detectar terroristas, hackers, etc. en Internet. Se "traga" miles de correos electrónicos y los lee. Lo bautizaron "Carnívoro". Y con razón. Se trata de un sistema capaz de "tragarse" miles de email y de diálogos electrónicos a la vez y luego permite leerlos, cualquiera sea el idioma en que hayan sido escritos.

El FBI, el Buró Federal de Investigaciones estadounidense, inventó "Carnivore" (en inglés) y lo usa para poder detectar a delincuentes comunes y terroristas políticos que utilizan Internet para planear y coordinar sus actos ilícitos.

Pero el sistema también puede ser aplicado para interceptar los cada vez más numerosos romances idílicos, las conversaciones eróticas o simplemente los diálogos entre adolescentes que tienen lugar online. Por eso todas las organizaciones que defienden el derecho a la privacidad y a las libertades civiles en Estados Unidos han puesto el grito en el cielo.

"Carnívoro utiliza a los proveedores de Internet para interceptar y analizar el correo electrónico de sospechosos y no sospechosos por igual", explicó Barry Steinhardt, el director asociado de la Unión Americana de Libertades Cívicas. "No hay ninguna manera de que el sistema pueda hacer la distinción."

Carnívoro se parece hasta cierto punto a Echelon, un poderosa red de sistema de escuchas de los servicios secretos estadounidenses, aunque es muchísimo más simple. Es de hecho una computadora, con forma de caja, que el FBI instala en el proveedor de Internet elegido para su investigación. La computadora revisa todos los emails que pasan por ese proveedor y los copia en un disco duro. Si bien tiene la capacidad de interceptar otros email, que pasan otros proveedores, sólo analiza los email del proveedor que es objeto de la investigación. La recopilación y análisis de los email dura unos 45 días.

El FBI concibió este sistema en un laboratorio especial de Quántico, estado de Virginia, y lo bautizó Carnivore por su habilidad para triturar miles de e-mail al mismo tiempo. El sistema preocupa mucho a los proveedores de Internet, que se resisten a colocar en sus servicios cualquier tipo de software que pueda tener como propósito el espionaje electrónico.

Respecto en los sitios mencionados en los mensajes he leído y la explicación es muy buena, es como han mencionado un complemento del Echelon. Tenemos que pensar que TODOS nuestros mails son "escuchados" de alguna forma, si contienen alguna palabra que pueda vincularse con terrorismo, narcotráfico, atentados, fallas en seguridad (lógicamente que la de nuestros papás del norte).

Hay programas "espías" que se descargan junto con otros programas tales como el Getright o el Gozilla y tantos otros que lo que hacen en realidad es guardar todos los passwords que tenemos, es el caso del famoso "Gator" que se descarga con los programas antes mencionados.

Fuente: http://www.taringa.net/posts/info/1729179/_Que-es-Echelon-y-Carnivoro_.html (http://www.taringa.net/posts/info/1729179/_Que-es-Echelon-y-Carnivoro_.html)

(http://pijamasurf.com/wp-content/uploads/2010/08/big-brother-201.jpg)

De nada, DonVidela.  ;D

El troyano  Flame o llamado también Skywiper, ha sido identificado como el más peligroso y complejo que se ha visto hasta el momento debido a que es capaz de propagarse fácilmente incluso a través de señales  inalámbricas Bluetooth, una vez infectado el computador el hacker tiene a disposición una serie de herramientas para acceder a los datos de usuario.


Según el post publicado de Bitdefender Labs, Flamer viene con otro componente llamado “SUICIDE”,  que increíblemente limpia el sistema cuando se emite el comando correspondiente  por atacantes remotos.

Si tu computador esta infectado con el virus “Flame”, el atacante puede fácilmente acceder a tus contraseñas, datos personales, grabar conversaciones de voz y tomar instantáneas de la pantalla del Pc, es por ello que es mejor chequear si todo anda bien. http://www.woratek.com/2012/05/29/eliminar-virus-flame/

Hombre no es nada nuevo que se pueda desinstalar remotamente un troyano xDD

Como ya dije, no son las caracteristicas aisladas de Flame que lo hacen unico. Es la juncion de varias caracteristicas. Y no fuí yo quien dijo esto, fue el gerente de Bitdefender.  ;D

Si ya se que no fuiste tu, lo que digo es que esa función suicide no es para nada nueva.

muy interesante todo lo que han expuesto aqui.
saludos

alguien sabe como infectase con este troyano???, cuando lo sepa infectare una maquina vieja y vere el comportamiento del virus, ver los procesos, conexiones, puertos que utiliza, ver la ram que consume con el ordenador en reposo, ver el porcentaje de cpu que consume etc.

Muy muy interesante.. Una vez mas se comprueba que la rutina de trabajar con los AV es mas efectiva que destruirlo....

Muy interesante mucha documentación al respecto..

LUA para desarrollar malware.. juas.. Las cosas que se ven hoy en dia =)

Si te mudas para Irán y empieza a trabajar en algun organo del gobierno iraní, serás un blanco muy facil Vjuan_  ;D. No es tan facil, son "blancos" muy especificos, direccionados por Estados Unidos e Israel. Por esto el universo de este virus es muy pequeño y especifico. Es un arma de espionaje y control muy poderosa.

Expertos detectan programa espía más extendido que Flame

Expertos detectaron que el virus espía entra en el sistema de los usuarios al descargar algunas versiones del proxy Simurgh.

El programa Simurgh, que permite acceder a contenidos restringidos de forma anónima es utilizado a menudo por los usuarios de internet en países como Irán o Siria. Pero, advierten, su uso podría conllevar riesgos notables.

Un equipo de la Universidad de Toronto acaba de alertar que este sistema podría costar caro a más de un disidente ya que es posible que, al descargar este programa, se esté abriendo una puerta trasera a las autoridades para que espíen sus actividades en la red.

Esto se debe a que, según indicaron, en ocasiones la instalación de este programa proxy (como se conoce este tipo de software) conlleva también la implantación de un virus troyano espía que, entre otras cosas, extrae las palabras clave del usuario.

ADVERTENCIAS

En principio, el programa Simurgh permite a los usuarios acceder a páginas bloqueadas de forma anónima, pero si al decargarlo infectaron su computador con el troyano, los datos del PC de la víctima se envían a una página registrada en un servidor de internet alojado en Arabia Saudita.

Esto puede incluir el nombre de usuario y de la máquina, así como cada ventana visualizada y tecleo realizado.

Al detectar el troyano, los desarrolladores del Simurgh colgaron una advertencia en su página de internet que alerta a los usuarios que versiones de este programa obtenidas desde páginas de descargas podrían contener el virus.

Las firmas de seguridad Sophos y Avira también han actualizado sus detectores de malware para atrapar al código malicioso.

Morgan Marquis-Boire, consejero técnico en la Munk School of Global Affairs, explicó que el archivo llamado Isass.exe permitía "el acceso persistente a la computadora de la víctima" así como "la salida de datos".

"Este troyano ha sido diseñado específicamente para detectar a gente que trata de saltarse la censura del gobierno", apuntó.

DISIDENTES SIRIOS E IRANÍES

Simurgh es un pájaro mitológico de la tradición persa y fue el nombre que se le dio a este sistema operativo creado justo después de las elecciones presidenciales de 2009.

El programa suele instalarse a través de memorias USB en los cibercafés y permite a los ciudadanos iraníes acceder a todo tipo de información en red.

Pero no sólo los iraníes, sino también los sirios hacen uso de este sistema anticensura, por lo que se sospecha que también se habrían visto afectados por el troyano espía.

"Si el virus está instalado en la computadora se debe asumir que todos los servicios de internet (correo electrónico, cuentas bancarias) han sido comprometidos y se aconseja cambiar todas las palabras clave lo antes posible".

Marquis-Boire observó también que un efecto secundario del virus es la ausencia de sonidos durante la navegación en el programa Microsoft Explorer.

MÁS EXTENDIDO QUE FLAME

Un reporte posterior de Sophos informó que aunque los datos estaban siendo enviados a lo que parece ser una empresa registrada en Arabia Saudita, algunos de los servidores utilizados están en Estados Unidos.

Sin embargo, explicó que esto no significa que el ataque ha sido instigado por alguien en Estados Unidos, ya que cualquiera podría haber alquilado el servidor.

La noticia sale a la luz justo después de que investigadores descubrieran uno de los ataques cibernéticos más sofisticados jamás detectados; el perpetrado por el malware Flame.

A principios de esta semana se reveló que este malware había infectado computadoras en Irán y otros países de Oriente Medio, con el supuesto fin de robar datos confidenciales.

Sin embargo, Sophos sugirió que el troyano de Simurgh habría afectado incluso más computadoras que Flame.

"A diferencia de Flame, que es un malware detectado únicamente en un puñado de computadoras en todo el mundo, este troyano tiene como objetivo a usuarios cuyas comunicaciones podrían comprometerles, llevarles a prisión e incluso peor", escribió en su blog Chester Wisniewski, consejero en jefe de seguridad de Sophos.

"Miles dependen de un servicio Simurgh legítimo, lo que hace factible que incluso más gente haya sido afectada por este malware".


(http://actualidad.rt.com/actualidad/public_images/2c6/2c62c164ec2cd1507eb657b8d09c3149_article.png)

(http://www.laprensa.hn/var/laprensa_site/storage/images/media/fotogalerias/vivir/tecnologia/virus/flame-es-utilizado-como-un-arma-cibernetica/713507-1-esl-HN/Flame-es-utilizado-como-un-arma-cibernetica_480_311.jpg)

Advertencia - mientras estabas escribiendo, una nueva respuesta fue publicada. Probablemente desees revisar tu mensaje.

Fuente: http://noticiasmx.terra.com.mx/tecnologia/noticias/0,,OI5805917-EI4130,00-Expertos+detectan+programa+espia+mas+extendido+que+Flame.html

Conoce la lista de los 10 virus informáticos más peligrosos de la historia

Tras el descubrimiento de Flame, que promete ser el peor virus jamás conocido, recordamos el largo historial de amenazas informáticas, que han costado varios miles de millones de dólares a la industria tecnológica.

http://foro.elhacker.net/foro_libre/conoce_la_lista_de_los_10_virus_informaticos_mas_peligrosos_de_la_historia-t363279.0.html;msg1752638#msg1752638 (http://foro.elhacker.net/foro_libre/conoce_la_lista_de_los_10_virus_informaticos_mas_peligrosos_de_la_historia-t363279.0.html;msg1752638#msg1752638)

Es emocionante como se desarrollan las cosas en los paises, conspiraciones, atentados, muerte,  destruccion. Todo esto de manera imperceptible, con herramientas increibles que generan el deseo de crear versiones posteriores que por naturaleza inventamos, actuando a la sombra de la supervivencia humana; pero al mismo tiempo tengo miedo por tanta maldad :-\ y sangre fria, a una fe ciega por la debilidad que los domina. Siempre imagine estar infectado sin duda por todo tipo de ojos, estando a la mira de mis actos, pero hay una cosa que no podran invadir y es por esa cosa que seguiremos como estamos hasta salir del contexto. No quieren aceptar las consecuencias que nos llevaran a la destruccion, es muy triste.

Estamos cerca de malos tiempos, los proximos golpes de Estado se daran por internet. Por esto hay que estudiar, estudiar y estudiar este mundo :)

 Obama abre nueva etapa de guerra informática

El presidente de EE. UU. autorizó ataques cibernéticos al plan nuclear de Irán, aseguró "The New York Times". El "Stuxnet" hizo estragos. Otro virus, el "Flame", parece aún más potente.

SAN FRANCISCO, EE. UU. (AFP).- El reciente descubrimiento del virus informático "Flame", que funciona desde hace varios años y cuyo potencial destructivo sería inigualable, y los informes sobre acciones informáticas contra Irán confirman los temores de los expertos de que el mundo enfrenta una nueva etapa en la guerra cibernética.

The New York Times aseguró ayer que el presidente de EE.UU. Barack Obama incrementó los ciberataques contra el programa nuclear iraní, incluso después que el virus Stuxnet se difundiera accidentalmente en 2010.


La operación comenzó bajo el presidente George W. Bush con el nombre de "Olympic Games" y es el primer ciberataque sostenido por Estados Unidos que se conozca contra otro país y usó códigos falsos desarrollados por Israel, señala el Times.

El artículo está basado en 18 meses de entrevistas con funcionarios y ex responsables estadounidenses, europeos e israelíes.

El ciberataque, destinado a impedir a Irán la fabricación de armas nucleares y disuadir a Israel de lanzar un ataque militar preventivo contra Teherán, sembró la confusión en la planta nuclear iraní de Natanz. Sin embargo, EE. UU. consideró suspenderlo, luego de que Stuxnet -un complejo virus informático desarrollado conjuntamente con Israel- "escapó" y comenzó a aparecer en varios países, afirma el Times. De todos modos, Obama ordenó la continuación de los ataques y una semana después de la fuga de Stuxnet, una nueva versión del virus hizo caer temporalmente 1.000 de las 5.000 centrifugadoras nucleares con que contaba Irán en ese momento.

Los expertos sospechaban que Stuxnet, diseñado para atacar los sistemas de control informático fabricados por el gigante alemán Siemens, era de origen estadounidense e israelí, pero ninguno de los dos países lo admite.

El artículo del Times fue publicado días después de que expertos del laboratorio ruso Kaspersky, una importante empresa de software antivirus, descubriera "Flame," un sofisticado virus varias veces mayor que Stuxnet, que también parece tener como objetivo a Irán.

"Estamos viendo el surgimiento de programas informáticos maliciosos y de ataques mucho más específicos" que antes, dijo David Marcus, director investigación en seguridad en la firma McAfee Labs. La especificidad de este nuevo virus es que "el atacante conoce a su víctima y diseña sus programas maliciosos basado en el entorno en el que se ejecutará", señaló.

Kaspersky Lab identificó al virus con un potencial destructivo sin precedentes, llamado "Flame" y utilizado como una 'ciberarma' en contra de varios países. Aseguró que ese software ha estado circulando "durante más de dos años." Recopilar información sobre sus objetivos para luego concebir virus que ataquen a las redes específicas y a las personas que las utilizan es ciertamente una práctica "en boga", dijo Marcus.

"Flame" es "20 veces mayor que Stuxnet", según Kaspersky Lab. Es capaz de robar información importante -contenida no sólo en las computadoras sino en los sistemas informáticos que tiene como objetivo- tanto de documentos archivados y contactos de usuario, como incluso de grabaciones de audio y conversaciones, señaló la firma rusa.

De acuerdo con medios occidentales, "Flame" fue usado para atacar el ministerio de Petróleo iraní y la principal terminal petrolera de Irán. "Flame" es particularmente activo en Medio Oriente, pero también está muy extendido en otras partes del mundo, dijo Symantec.

Fuente: http://www.rionegro.com.ar/diario/obama-abre-nueva-etapa-de-guerra-informatica-889052-9533-nota.aspx (http://www.rionegro.com.ar/diario/obama-abre-nueva-etapa-de-guerra-informatica-889052-9533-nota.aspx)