Bueno, ahi estamos. Como es esta velocidad de información, ayer tornan publico el virus FLAME, hoy tornan publico el antivirus par este malware. Y pensar que me bisuabuelo tenía que esperar meses para saber una noticia de Europa. ¡Qué Viva Internet! Ah, y scanneé mi PC con la herramienta esta, estoy libre de FLAME, jajajaja. 

Saludos, cumpa.

Grais DonVidela, fuiste segundos más rapido que yo. Saludos. Por si las moscas, ya descargué la herramienta.

Enlaces de descarga para la herramienta que elimina el Flame

Sistemas 32 Bits:

http://labs.bitdefender.com/wp-content/uploads/downloads/2012/05/TrojanFlamer_BDRemovalToolDropper_x86.exe

Sistemas 64 Bits:
http://labs.bitdefender.com/wp-content/uploads/downloads/2012/05/TrojanFlamer_BDRemovalToolDropper_x64.exe

Saludos desde Bolivia.

UPDATED: Cyber Espionage Reaches New Levels with Flamer

Download the 32-bit or the 64-bit removal tools and find out if you’re infected with  Flamer, the world’s most discrete and dangerous piece of malware ever. If you are already protected by a Bitdefender security solution, you do not need to run the removal tool.

Update 1: We have just discovered that Trojan.Flamer.A comes with yet another controversial component, suggestively named SUICIDE. This component is used to automatically clean up the system when the appropriate command is issued by remote attackers. The SUICIDE module references more than 70 files (part of the Flamer framework) that should be wiped out from the system in order to deter any forensics analysis on the system. The referenced files are listed below:

 SUICIDE.RESIDUAL_FILES.A string %temp%\~a28.tmp
 SUICIDE.RESIDUAL_FILES.B string %temp%\~DFL542.tmp
 SUICIDE.RESIDUAL_FILES.C string %temp%\~DFL543.tmp
 SUICIDE.RESIDUAL_FILES.D string %temp%\~DFL544.tmp
 SUICIDE.RESIDUAL_FILES.E string %temp%\~DFL545.tmp
 SUICIDE.RESIDUAL_FILES.F string %temp%\~DFL546.tmp
 SUICIDE.RESIDUAL_FILES.G string %temp%\~dra51.tmp
 SUICIDE.RESIDUAL_FILES.H string %temp%\~dra52.tmp
 SUICIDE.RESIDUAL_FILES.I string %temp%\~fghz.tmp
 SUICIDE.RESIDUAL_FILES.J string %temp%\~rei524.tmp
 SUICIDE.RESIDUAL_FILES.K string %temp%\~rei525.tmp
 SUICIDE.RESIDUAL_FILES.L string %temp%\~TFL848.tmp
 SUICIDE.RESIDUAL_FILES.M string %temp%\~TFL849.tmp
 SUICIDE.RESIDUAL_FILES.N string %temp%\~ZFF042.tmp
 SUICIDE.RESIDUAL_FILES.O string %temp%\GRb9M2.bat
 SUICIDE.RESIDUAL_FILES.P string %temp%\indsvc32.ocx
 SUICIDE.RESIDUAL_FILES.Q string %temp%\scaud32.exe
 SUICIDE.RESIDUAL_FILES.R string %temp%\scsec32.exe
 SUICIDE.RESIDUAL_FILES.S string %temp%\sdclt32.exe
 SUICIDE.RESIDUAL_FILES.T string %temp%\sstab.dat
 SUICIDE.RESIDUAL_FILES.U string %temp%\sstab15.dat
 SUICIDE.RESIDUAL_FILES.V string %temp%\winrt32.dll
 SUICIDE.RESIDUAL_FILES.W string %temp%\winrt32.ocx
 SUICIDE.RESIDUAL_FILES.X string %temp%\wpab32.bat
 SUICIDE.RESIDUAL_FILES.Z string %windir%\system32\commgr32.dll
 SUICIDE.RESIDUAL_FILES.A1 string %windir%\system32\comspol32.dll
 SUICIDE.RESIDUAL_FILES.A2 string %windir%\system32\comspol32.ocx
 SUICIDE.RESIDUAL_FILES.A3 string %windir%\system32\indsvc32.dll
 SUICIDE.RESIDUAL_FILES.A4 string %windir%\system32\indsvc32.ocx
 SUICIDE.RESIDUAL_FILES.A5 string %windir%\system32\modevga.com
 SUICIDE.RESIDUAL_FILES.A6 string %windir%\system32\mssui.drv
 SUICIDE.RESIDUAL_FILES.A7 string %windir%\system32\scaud32.exe
 SUICIDE.RESIDUAL_FILES.A8 string %windir%\system32\sdclt32.exe
 SUICIDE.RESIDUAL_FILES.A9 string %windir%\system32\watchxb.sys
 SUICIDE.RESIDUAL_FILES.A10 string %windir%\system32\winconf32.ocx
 SUICIDE.RESIDUAL_FILES.A11 string %COMMONPROGRAMFILES%\Microsoft Shared\MSSecurityMgr\rccache.dat
 SUICIDE.RESIDUAL_FILES.A12 string %windir%\system32\mssvc32.ocx
 SUICIDE.RESIDUAL_FILES.A13 string %COMMONPROGRAMFILES%\Microsoft Shared\MSSecurityMgr\dstrlog.dat
 SUICIDE.RESIDUAL_FILES.A14 string %COMMONPROGRAMFILES%\Microsoft Shared\MSAudio\dstrlog.dat
 SUICIDE.RESIDUAL_FILES.A15 string %COMMONPROGRAMFILES%\Microsoft Shared\MSSecurityMgr\dstrlogh.dat
 SUICIDE.RESIDUAL_FILES.A16 string %COMMONPROGRAMFILES%\Microsoft Shared\MSAudio\dstrlogh.dat
 SUICIDE.RESIDUAL_FILES.A17 string %SYSTEMROOT%\Temp\~8C5FF6C.tmp
 SUICIDE.RESIDUAL_FILES.A18 string %windir%\system32\sstab0.dat
 SUICIDE.RESIDUAL_FILES.A19 string %windir%\system32\sstab1.dat
 SUICIDE.RESIDUAL_FILES.A20 string %windir%\system32\sstab2.dat
 SUICIDE.RESIDUAL_FILES.A21 string %windir%\system32\sstab3.dat
 SUICIDE.RESIDUAL_FILES.A22 string %windir%\system32\sstab4.dat
 SUICIDE.RESIDUAL_FILES.A23 string %windir%\system32\sstab5.dat
 SUICIDE.RESIDUAL_FILES.A24 string %windir%\system32\sstab6.dat
 SUICIDE.RESIDUAL_FILES.A25 string %windir%\system32\sstab7.dat
 SUICIDE.RESIDUAL_FILES.A26 string %windir%\system32\sstab8.dat
 SUICIDE.RESIDUAL_FILES.A27 string %windir%\system32\sstab9.dat
 SUICIDE.RESIDUAL_FILES.A28 string %windir%\system32\sstab10.dat
 SUICIDE.RESIDUAL_FILES.A29 string %windir%\system32\sstab.dat
 SUICIDE.RESIDUAL_FILES.B1 string %temp%\~HLV751.tmp
 SUICIDE.RESIDUAL_FILES.B2 string %temp%\~KWI988.tmp
 SUICIDE.RESIDUAL_FILES.B3 string %temp%\~KWI989.tmp
 SUICIDE.RESIDUAL_FILES.B4 string %temp%\~HLV084.tmp
 SUICIDE.RESIDUAL_FILES.B5 string %temp%\~HLV294.tmp
 SUICIDE.RESIDUAL_FILES.B6 string %temp%\~HLV927.tmp
 SUICIDE.RESIDUAL_FILES.B7 string %temp%\~HLV473.tmp
 SUICIDE.RESIDUAL_FILES.B8 string %windir%\system32\nteps32.ocx
 SUICIDE.RESIDUAL_FILES.B9 string %windir%\system32\advnetcfg.ocx
 SUICIDE.RESIDUAL_FILES.B10 string %windir%\system32\ccalc32.sys
 SUICIDE.RESIDUAL_FILES.B11 string %windir%\system32\boot32drv.sys
 SUICIDE.RESIDUAL_FILES.B12 string %windir%\system32\soapr32.ocx
 SUICIDE.RESIDUAL_FILES.B13 string %temp%\~rf288.tmp
 SUICIDE.RESIDUAL_FILES.B14 string %temp%\~dra53.tmp
 SUICIDE.RESIDUAL_FILES.B15 string %systemroot%\system32\msglu32.ocx

 

The discovery of Stuxnet back in 2010 sparked intense debate on the state of security in cyber-space. But, even though Stuxnet has been successfully identified, isolated and dealt with, its predecessor (and companion, as well) has managed to remain undetected all this time by employing stunning tactics that likely make it the most advanced e-threat in the world to date.

When state-of-the-art malware detection works against intelligence gathering

This new e-threat, identified by Bitdefender as Trojan.Flamer.A appears to have emerged before Stuxnet and Duqu hit. All this time, it has operated discreetly, and even if it some of its components were detected when Stuxnet was discovered, the AV industry couldn’t see how deep the operation ran.

On average, between 15,000 and 35,000 unique malware samples appear daily, which makes manual analysis or individual identification technically unfeasible. Most antivirus vendors rely on generic detections and heuristics to cover as much as possible of this malicious pool. Subsequently, the features Flamer.A shared with Stuxnet made antivirus products detect it as a generic Stuxnet sample. This, along with some other technical features allowed it stay hidden, although its operation was impacted.

At a glance, the Flamer.A Trojan appears much more advanced than Stuxnet. This complex and flexible piece of malware was built using a variety of technologies ranging from LUA scripting to assembly language. Its modular structure makes it extremely flexible and apparently able to carry out any task for its attackers.

The Flamer Trojan includes a spying component, called nteps32.ocx. This component, named REAR_WINDOW has an earlier version called comspol32.ocx that has definitely been around since the end of 2010 and is well detected by antivirus vendors with miscellaneous signatures.

Bitdefender also managed to isolate a new component called atmpsvcn.ocx that dates approximately in October 2010 and that is also detected as Stuxnet. Its purpose is unknown yet, as it is pending analysis, but preliminary data point to it being used for USB drive spreading and detection of AV solutions installed on the PC.

We mentioned that Flamer.A makes heavy use of LUA scripts. Bitdefender identified 62 such scripts used by the malware to control everything, from loading the OCX modules to regulating data exchange between these components. Among others, these highly specialized LUA modules can circumvent some antivirus solutions, control the theft of information from the infected PC or download new malicious components as they get updated. Combined, these LUA scripts are built of more than 6500 lines of code.

SSL encryption working against the user

If encrypting data as it gets sent over the web is usually beneficial for the user, Flamer.A uses it against them. The infected PCs connect to an array of servers to which they send encrypted data over HTTPS.  The data packages we intercepted and decrypted were buffers of about 100 kilobytes that apparently carry files with various sizes. The one we intercepted was 108.116 bytes and was encrypted with the “LifeStyle2” password, but using a currently unknown algorithm. This might be either a file leaked from the infected PC or an activity log file sent to the C&C. It also appears that the file was sent by the leak_app.lua script.



Fuente: http://labs.bitdefender.com/2012/05/cyber-espionage-reaches-new-levels-with-flamer/

Bitdefender lanza herramienta gratuita para combatir a Flame

Ayer supimos de la existencia del peligroso malware espía Flame, un avanzado y sofisticado virus desarrollado por desconocidos y utilizado para el robo de información a través de complejas vías. A raíz de esto, Bitdefender, una empresa de seguridad informática creó una herramienta para eliminar el malware desde los ordenadores infectados y la puso a disposición de los cibernautas de manera gratuita.

Flame, el virus más poderoso y complejo que se conoce hasta hoy, causó estragos en Oriente medio, luego de haber infectado una gran cantidad de ordenadores y robado una cantidad indeterminada de información.

El malware fue descubierto por Kaspersky Lab, una compañía de seguridad informática, quienes alertaron inmediatamente al mundo.

Entre sus características más peligrosas están su capacidad para intervenir correos electrónicos y mensajería instantánea, grabar conversaciones a través del micrófono del ordenador, realizar capturas de pantalla, espiar el tráfico de internet del infectado y enviar toda la información obtenida directamente al hacker.

Sin embargo, sus días podrían llegar a su fin muy pronto, ya que otra agencia de seguridad informática, Bitdefender, anunció en su página web el desarrollo de una herramienta para eliminar dicho malware de manera –esperamos- definitiva, y publicó el enlace para descargarlo de manera totalmente gratuita.

Según la compañía, el virus –identificado por ellos como Trojan.Flamer.A- lleva operativo un poco más de dos años, incluso desde antes que aparecieran Stuxnet y Duku, que fueron malwares temibles durante 2010. “Todo este tiempo- explica el portal de la compañía- ha estado operando discretamente, e incluso si alguno de sus componentes fue detectado cuando se descubrió Stuxnet, la industria de los antivirus no pudo ver cuan profunda era su operación”, menciona el sitio.

El portal además explica algunas características del virus espía, un poco de su historia y cómo lograron aislar ciertos elementos componentes del troyano, detallando su composición y, finalmente, publicando el enlace para descargar la herramienta para eliminar Flame.

Fuente: http://www.inteldig.com/2012/05/bitdefender-lanza-herramienta-gratuita-para-combatir-a-flame/

Sí, estoy recibiendo muchas notificaciones de noticias publicadas en Google, pero nada importante, nada del codigo todavia. Ah, arriba hay un error:
5) Las caracteristicas aisladas de FLAME no es gran cosa, ya que no tiene nada novedoso que otros virus no lo hagan, pero lo novedoso es la juncion de todos los ataques y xploits en un solo virus, principalmnente la caracteristica de controlar dispositivos bluetooth. Esto hace de FLAME el malware más conocido hasta hoy, segun Kaspersky.


Quice decir que: ESTO HACE DE FLAME EL MALWARE MÁS COMPLEJO CONOCIDO HASTA HOY, SEGÚN KASPERSKY

EURONEWS: El virus Flame abre nueva etapa en la ciberguerra



Fuente: http://es.euronews.com/2012/05/29/el-virus-flame-abre-nueva-etapa-en-la-ciberguerra/

Conclusion de KASPERSKY en la ultima hora, FLAME es una ARMA CIBERNETICA utilizada en contra determinados paises. Esto de arma cybernetica es realemnte asustador.

"Una empresa rusa descubre un nuevo y poderoso virus informático usado como arma

(AFP) – hace 7 horas

MOSCÚ — La empresa rusa Kaspersky, que desarrolla programas de protección para ordenadores, anunció este martes haber identificado un nuevo virus informático de potencial destructor sin precedentes, utilizado como un arma cibernética contra varios países.

La firma reveló haber identificado el nuevo virus, denominado Flame, durante una investigación iniciada por la Unión Internacional de Telecomunicaciones (UIT). Este virus "es actualmente utilizado como un arma cibernética contra una serie de países", informó Kaspersky Lab en un comunicado.

"La complejidad y la funcionalidad del programa recientemente detectado supera las de todas las otras amenazas conocidas hasta ahora", destacó la firma. De acuerdo con el laboratorio ruso, Flame es "veinte veces más importante que Stuxnet", un virus descubierto en 2010 y que tenía como objetivo atacar el programa nuclear iraní.

Kaspersky aseguró que Flame "puede robar informaciones importantes y no solo las que estén contenidas en computadoras, sino también documentos archivados, contactos y hasta grabaciones de audio de conversaciones".

La firma no identificó a los países contra los cuales era utilizado este virus, pero añadió que el descubrimiento ocurrió como parte de investigaciones sobre incidentes con otro virus, aún desconocido, que borra informaciones en computadoras en la región del "oeste de Asia". La prensa europea sugiere que Flame fue utilizado para atacar el sector petrolero de Irán, en especial el Ministerio de Petróleo y el principal terminal de ese país.

"Los descubrimientos preliminares indican que este programa está circulando desde hace más de dos años, desde marzo de 2010", añadió el informe de Kaspersky Lab. Por su parte, el centro iraní Maher, de coordinación para la lucha contra ataques informáticos, anunció haber desarrollado un programa capaz de identificar a Flame y destruirlo.

De acuerdo con esta institución, los programadores iraníes "tuvieron éxito en la identificación del virus Flame, y en la preparación de un programa capaz de eliminarlo". Ese programa de protección "está a disposición de los órganos del gobierno que lo deseen", informó la entidad, sin mencionar los eventuales daños provocados por Flame en Irán.

La agencia de prensa iraní Fars informó que Flame "es responsable del robo de información a gran escala en las últimas semanas". Poco después del anuncio de Kaspersky, el ministro de Asuntos Estratégicos israelí, Moshé Yaalon, justificó este martes en Jerusalén la utilización de virus informáticos como Flame para contener lo que considera la amenaza nuclear iraní.

"Está justificado, por quien considere la amenaza iraní como una amenaza significativa, tomar diferentes medidas, incluida esta, para detenerla", dijo Yaalon, alimentando así las especulaciones sobre el papel de Israel en el desarrollo y distribución de ese virus informático. "Israel posee lo más avanzado de las nuevas tecnología y estas herramientas nos ofrecen todo tipo de posibilidades", dijo Yaalon a la radio militar".

Copyright © 2012 AFP. Todos los derechos reservados
http://www.google.com/hostednews/afp/article/ALeqM5hcziGpw0Wue2UVSpK07ow6hq5c5Q?docId=CNG.63ef401ba1814d3ae6d336c5dcb1e74a.e1

Gracias por el aporte, jpmo4. Pero todas las noticias tienen como fuente primaria la pagina de KASPERSKY.

Esta es la primera nota: http://www.kaspersky.com/about/news/virus/2012/Kaspersky_Lab_and_ITU_Research_Reveals_New_Advanced_Cyber_Threat

Este es un examen, un analisis detallado del funcionamiento de FLAME: https://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers

Pero todavia Kaspersky no ha detallado nada sobre su codigo, ni lo hará. Pero de estas dos fuentes, que originaron todas las noticias y articulos posteriores, se puede sacar algunas conclusiones.

1) Flame es un backdoor y al mismo tiempo un gusano que puede replicarse en una red local ó un pendrive.

2) Utiliza la vulnerabilidad MS 10-033 para sus ataques (Todavia no esta realmente confirmado esto).

3) Flame consiste de 20 modulos que hacen desde captura de pantalla, grabar audio, etc,. Bien como se detalló en el post y en tu respuesta. Flame es un enorme paquete de módulos que comprenden casi 20 MB, cuando esta operativo. Es grande, pues, Flame contiene diferentes librerias como para la comprension (zlib, libbzz, PPMD) y la manipulación de bases de datos (squilite3), junto con una maquina virtual de LUA.

4) LUA es un lenguaje de scripts escrita a partir de C que utiliza la biblioteca de C++.  LUA se carga utilizando varios DLL del propios Sistema Operativo, es como si un OS "fantasma" arrancase simultaneamente con el SO original.

5) Las caracteristicas aisladas de FLAME no es gran cosa, ya que no tiene nada novedoso que otros virus no lo hagan, pero lo novedoso es la juncion de todos los ataques y xploits en un solo virus, principalmnente la caracteristica de controlar dispositivos bluetooth. Esto hace de FLAME el malware más conocido hasta hoy, segun Kaspersky.

6) Hay varios servidores de FLAME en todo el Mundo, servidores que monitorean cada tecla presionada, cada mensaje de messenger o el chat de facebook, correos electronicos, incluso grabando conversaciones de las oficinas de las organizaciones del oriente medio. Y ahi esta la pista, kaspersky dice que es imposible que una sola persona ó un grupo de hackers tenga hecho tamaña obra de ingenieria informatica, esto es obra de un Estado-nación. Y como los "blancos" son organizaciones del oriente medio, es muy facil deducir que pais esta por de tras de todo esto: Estados Unidos.

Hago mía la pregunta del texto anterior: ¿Ha empezado la cyberguerra?

Otro video interesante puedes ver aqui: http://www.prisonplanet.com/stuxnet-x20-massive-cyber-spy-virus-flame-hits-iran-israel.html