Há algum tempo temos observado muitas opiniões sobre este worm que é detectado pelo ESET Smart Security como Win32/Flamer. O seu nome pode variar entre Flamer, Flame e sKyWIper, segundo a fonte.

Devido à grande repercussão que esse malware está tendo, uma grande especulação foi gerada sobre o assunto. Por isso, é interessante esclarecer alguns detalhes que estão um pouco confusos sobre este código malicioso. No dia 28 de maio, o Centro de Coordenação da Equipe de Resposta de Emergências Computacionais (CERT) do Irã disponibilizou amostras a algumas empresas fabricantes de software de segurança para que sejam devidamente analisadas. A partir disso, o Laboratório de Criptografia e Segurança em Sistemas da Universidade de Tecnologia de Budapeste fez uma interessante análise sobre a ameaça. Depois disso, começou a circular muita informação sobre o assunto na Internet, o que poderia causar confusão em alguns usuários. Por esse motivo, decidimos desmistificar algumas dessas afirmações e esclarecer aos usuários alguns detalhes deste polêmico worm:

O Flamer é uma ameaça nova

Falso. Essa ameaça já está ativa há alguns anos. Porém, a atenção sobre ela aumentou desde que foi publicada pelo CERT do Irã e pelas respectivas empresas de segurança. Além disso, começaram a aparecer detecções em determinados países que já sofreram ataques virtuais dirigidos às suas instalações e plantas industriais, o que o leva a pensar em uma evolução desse malware.

O Flamer está relacionado ao Stuxnet e ao Duqu

Em alguns aspectos sim, já que existem determinados indícios que levam a considerar esta teoria. Em primeiro lugar, o Flamer tem algumas coisas em comum, como um design modular que lhe permite adicionar ou atualizar funcionalidades de forma independente e em diferentes momentos. Por outro lado, o Flamer é capaz de se propagar através do USB, igual ao Stuxnet, porém diferente do Duqu. O Stuxnet, além disso, se replicava automaticamente, enquanto o Flamer e o Duqu não. Portanto, existe uma infinidade de características que o tornam semelhante a essas duas ameaças e outras que o fazem uma ameaça em particular.

Seu tamanho é 20 Mb, o que é sensivelmente maior que o de outras ameaças

Verdadeiro. Considerando todos os seus módulos é uma ameaça de tamanho considerável, já que o restante geralmente não supera 1 megabyte. De fato, é dezenas de vezes maior que outras ameaças, como Stuxnet. Isso pode ser devido ao fato de ter muitos códigos de terceiros embutidos em seu conteúdo, enquanto que a maioria das outras ameaças não o faz.

É o código malicioso mais letal de todos os tempos

Depende. É difícil poder determinar isso sem saber realmente quais são seus alvos. É uma ameaça que foi teoricamente projetada para o roubo de informação, contudo apareceram detecções em diversos países. É uma ameaça que está teoricamente projetada para o roubo de informação, contudo surgiram detecções em diversos países – do Oriente Médio até alguns países do Leste Europeu. Por isso, o mais racional seria contar com mais informações para poder afirmar isso.

Não podemos nos proteger dessas ameaças complexas

Falso, apesar de essas ameaças apresentarem muitas características de propagação e um nível de complexidade superior à média, existem mecanismos para proteger as informações do usuário. No caso particular do Flamer, são exploradas vulnerabilidades conhecidas como MS10-061 e MS10-046 e nenhuma 0-day. Por isso, existem pacotes tanto para a primeira quanto para a segunda vulnerabilidade explorada, já divulgados pela Microsoft. Adicionalmente, é recomendável a utilização de uma tecnologia de segurança que permita detectar esta ameaça antes de acessar o sistema para manter os usuários seguros de forma proativa.

Por fim, faltam muitos dados para confirmar sobre a magnitude dos danos que essa ameaça poderia causar, e por isso recomendamos a todos os nossos usuários que mantenham seus sistemas e antivírus atualizados, de modo que seus dados não fiquem comprometidos. Com respeito à evolução desta ameaça, há coisas que ainda são incertas, mas já temos informação suficiente para ficarmos atentos.

Raphael Labaca Castro
Awareness & Research Coordinator