Symantec ha rilevato recentemente un comportamento apparentemente inspiegabile messo in atto da Flame, il pericoloso malware utilizzato come arma di spionaggio informativo per attaccare i computer di alcuni paesi del Medio Oriente. In realtà, lo scopo degli hacker è chiaro: eliminare ogni traccia del software sui PC infetti per impedire la rilevazione e lo studio da parte dei ricercatori di sicurezza.
Per diffondersi nei computer senza essere individuato, Flame crea dei falsi certificati firmati da Microsoft, ingannando la piattaforma degli aggiornamenti di Windows. In attesa di una modifica radicale dell’infrastruttura, l’azienda di Redmond ha rilasciato una patch per risolvere il problema relativo ai certificati.
Il funzionamento del programma nocivo è stato studiato inizialmente dai Kaspersky Lab. Il malware è costituito da vari moduli che gli hacker inviano sui PC da remoto per attivare le diverse funzionalità. Uno dei moduli più recenti (browse32.ocx), inviato il 9 maggio e identificato da Symantec, funziona come un uninstaller. In pratica, elimina tutti i file e tutte le directory utilizzate da Flame, sovrascrivendo il disco con caratteri generati in modo casuale. Inoltre, rimuove se stesso per evitare di essere rilevato dai tool dei ricercatori di sicurezza.
La software house di Mountain View è riuscita a scoprire il meccanismo di “autodistruzione” esaminando il codice memorizzato su alcuni computer, detti honeypot, usati per studiare il comportamento di Flame. Il malware integrava già un componente denominato SUICIDE, ma gli hacker hanno deciso di utilizzare un nuovo modulo per svolgere la stessa funzione.