Hiervoor heeft het zichzelf het MS-veiligheidscertificaat toegeëigend om te voorkomen dat het ontdekt zou worden.Microsoft is op de hoogte en heeft een noodfix klaargemaakt. Deze update is waarschijnlijk vandaag al bij jullie gepasseerd.
Voor XP is dit KB2718704, met als melding:
KB2718704: Update voor Windows XP
Installeer deze update om een probleem met een verplichte update van de lijst met ingetrokken certificaten op Windows-systemen op te lossen en om uw systeemlijst met certificaten actueel te houden. Nadat u deze update hebt geïnstalleerd, moet u de computer wellicht opnieuw opstarten.
De installatie van software ongedaan maken
Deze update kan worden verwijderd via het onderdeel Software van het Configuratiescherm.
Installeer deze update om een probleem met een verplichte update van de lijst met ingetrokken certificaten op Windows-systemen op te lossen en om uw systeemlijst met certificaten actueel te houden. Nadat u deze update hebt geïnstalleerd, moet u de computer wellicht opnieuw opstarten.
De installatie van software ongedaan maken
Deze update kan worden verwijderd via het onderdeel Software van het Configuratiescherm.
Tegelijk heeft het de onveilige certificaten ingetrokken, waardoor deze update wel noodzakelijk is.
Door een fout in de Terminal Server Licensing Service konden de makers van Flame het ondertekeningsprogramma in eigen voordeel toepassen. De code wordt dan zonder problemen doorgelaten door een systeem.
Ook de anti-virus bedrijven hebben meldingen serieus genomen en hebben maatregelen genomen. Het flinke pakketje malware-tools wordt bijna door ieder beveiligingsprogramma geblokkeerd. Volgens Kaspersky had dit meteen effect op de controleservers van de malware.
Flame zou vooral gericht zijn op het spioneren in het Midden-Oosten en het verzamelen van data. Stuxnet en Duqu deed bijna hetzelfde maar bracht ook schade toe aan belangrijke systemen (SCADA).
Volgens Microsoft lopen de meeste gebruikers geen gevaar. Het vertrouwen in de MS-certificaten is evenwel zwaar gehavend. Door het inpikken van de CA-code is ook de mogelijkheid ontstaan om voor andere malware certificaten aan te maken. Dit is vooral wat de beveiligingssector verontrust voor de toekomst.
Ook de volgende update-rondes zullen met argusogen worden bekeken, mogelijk niet eens meer geïnstalleerd omdat men het nieuwe certificaat nog steeds niet vertrouwt. Maar ook andere software-CA's komen nu in een ander daglicht te staan.
Volgens de tweet van Hypponen (F-Secure) ligt de softwarewereld helemaal overhoop:
Het vervalsen van een Microsoft-certificaat om code te ondertekenen, is de heilige graal voor malwaremakers
Hierop is te zien dat het certificaat is aangemaakt in februari 2010.
Flame is een verzameling tools, die zich uitstekend weet te verbergen in het systeem door het gebruik van junction points. Binnen een NTFS-systeem wordt het dan mogelijk om symbolische linken aan te maken naar bepaalde directories van waaruit het actief kan worden.
Op een USB-stick kan bv een directory worden aangemaakt met daarin enkele bestanden: de exe, de ini en de lnk. Van zodra die map wordt geopend wordt men doorgestuurd naar de doelmap van de tool, zonder dat de gebruiker het merkt. Hoe het werkt, legt Symantec hier uit.
Het analyseren van Flame staat als eerste punt op de agenda van vele malware bestrijders, die er een hele hap aan hebben omwille van de complexiteit.
Bron: divers
Systeembericht