Theo thông báo của Kaspersky Lab ngày 28/5/2012, Flame - "virus phức tạp nhất" - cấu tạo từ một gói các mô-đun mà khi được triển khai đầy đủ sẽ chiếm dung lượng khoảng 20MB. Do đó, nó trở nên khó phân tích với các phần mềm diệt virus. Kích thước lớn mang lại cho virus này hàng loạt thư viện, ví dụ, ZLib, libbz2, PPMD để nén các tập tin và sqlite3 để làm việc với các cơ sở dữ liệu. Đó là các công cụ để tổ chức tấn công hiệu quả.
Tính năng của Flame có thể được mở rộng nhờ tải thêm các mô-đun bổ sung. Số lượng mô-đun bổ sung lên tới 20. Theo thông báo của các chuyên gia Kaspersky Lab, hiện Flame đã lây nhiễm tới hơn 600 mục tiêu. Không rõ đây chỉ là 600 máy tính hay 600 tổ chức.
Theo Kaspersky Lab, Flame được dùng cho các cuộc tấn công có mục tiêu, tuy nhiên nguồn lây lan của nó chưa được xác định. Xét mọi khía cạnh, Flame này có nhiệm vụ làm gián điệp. Sau khi thâm nhập vào hệ thống, Flame có thể tiến hành một loạt hoạt động, ví dụ, chiếm lưu lượng mạng, chụp ảnh màn hình, ghi âm các cuộc nói chuyện, theo dõi thao tác bàn phím v.v... Tất cả các dữ liệu bị đánh cắp được gửi đến cho kẻ khai thác thông qua hàng loạt máy chủ.
Virus có tên gọi Flame là do đoạn code trong thư viện của nó - ảnh Securelist.com. |
Do sự phức tạp của trojan này, Kaspersky Lab cho rằng việc phát triển nó có thể có sự hậu thuẫn của các tổ chức thuộc chính phủ của một quốc gia nào đó. Tuy nhiên, vị trí cụ thể xuất phát trojan này không được Kaspersky Lab thông báo. Thú vị là khu vực phát tán Flame bao gồm các nước thân Iran như Ai-Cập, Li Băng, Palestine, Syria, Sudan cũng như các nước thân Mỹ như Israel và Ả-rập Xê-út...
Nhà phân tích virus chính của Kaspersky Lab Alexander Gostev cho biết trong trojan Flame có sử dụng phương pháp tấn công tương tự các sâu nổi tiếng như Stuxnet và Duqu. Stuxnet và Duqu từng được sử dụng để đánh cắp các thông tin từ các cơ sở hạt nhân của Iran trước đây. Tuy nhiên, trong Flame không ứng dụng một nền tảng nào từng được sử dụng trong Duqu và Stuxnet.
Những bằng chứng sử dụng Flame đầu tiên có từ tháng 8/2010 nhưng không loại trừ khả năng nó đã được sử dụng sớm hơn. Hiện tại, trên thế giới có vài máy chủ "quản lý" virus này. Gostev không loại trừ khả năng Flame có thể là dự án song song với Duqu và Stuxnet. Khác với Duqu và Stuxnet, Flame tấn công cả máy tính của công nghiệp năng lượng lẫn máy tính cá nhân của người dùng cuối, cơ quan nhà nước và các tổ chức giáo dục.