Lehet, hogy feleslegesen dolgoztak a Flame eltávolításán a víruskutatók? Úgy tűnik a kártevő írója deaktiválja teremtményét, s még a nyomait is megpróbálja eltüntetni.
A nemrég lelepleződött Flame (SkyWiper) hírszerző kártevő áldozatai számára az info-biztonsági cégek rövid időn belül egyedi mentesítő eszközöket tettek közzé – bár ekkor még a rendkívül bonyolult és összetett adattolvaj kód elemzése kezdeti stádiumban tartott és a célzott fertőzések egyébként is csak viszonylag kevés, talán ezernyi számítógépet érinthettek világszerte.
Most úgy tűnik, hogy a kódvisszafejtők önzetlen segítő tevékenységére valójában nem volt szükség, mert a Flame urai – a Symantec víruslabor blogján közölt megfigyelések szerint – röviddel a tevékenységük nyilvánosságra kerülése után egy „hivatalos” leszedő eszközt terjesztettek a számukra a C&C botnet-vezérlő kapcsolaton át még elérhető fertőzött gépekre.
Az előkészítő (EnableBrowser) és takarító (StartBrowse) modulból álló browse32.ocx program egy hosszú lista alapján letörli az összes, a Flame fertőzésről árulkodó fájlt – majd véletlen-számokkal felülírja azok üresen maradt helyét a merevlemezen. Ezt olyan alaposan teszi, hogy még a saját tevékenységének nyomait is eltünteti, így a víruskutatók csak a gyanús hálózati forgalom „honeypot” gépekkel történő begyűjtése révén szerezhettek tudomást a leszedő kód létezéséről — írja a virushirado.hu.
