Le malware Flame serait-il en train de se "suicider" ?

Malware Flame
L'éditeur Symantec rapporte que le malware Flame, qui agite la Toile et les experts en sécurité depuis deux semaines, aurait initié une procédure d'autodestruction visant à le faire disparaître des machines contaminées. Il pourrait s'agir d'une méthode destinée à effacer les traces du malware, pour empêcher une étude approfondie.

Symantec a détecté ce comportement, baptisé « Urgent Suicide », sur ses machines-tests destinées à étudier Flame. Des serveurs distants visant à commander et contrôler le malware ont envoyé des requêtes à ce dernier pour lancer une procédure d'autodestruction. Cette dernière est déclenchée par un fichier nommé browse32.ocx qui commence par réécrire aléatoirement l'ensemble des fichiers utilisés par Flame, avant de les supprimer de la machine.

Les experts en sécurité ont déterminé que la création du fichier browse32.ocx datait du 9 mai dernier. Or, un autre fichier contenu dans le malware - qui pèse près de 20 Mo et compte 160 éléments - était visiblement déjà destiné à une telle manœuvre. Symantec est pour l'instant indécis concernant les modifications effectuées à distance sur le système d'autodestruction du virus.

Reste que cette fonction « suicide » semble révélatrice de la volonté des concepteurs de Flame à garder des informations secrètes concernant le fonctionnement et l'origine du malware. Cette procédure intervient d'ailleurs quelques jours seulement après la mise en ligne par Microsoft d'un correctif visant à empêcher Flame d'utiliser une fausse signature pour s'installer sur un PC. De leur côté, les chercheurs de Kaspersky soulignent que la démarche du fichier browse32.ocx ne concerne que Flame et qu'elle ne risque pas d'endommager le reste des éléments contenus sur un ordinateur.
Commentaires
Chargement des commentaires...
( les afficher maintenant )