Costin Raiu ผู้เชี่ยวชาญด้านมัลแวร์จาก Kaspersky ประกาศการค้นพบผ่านทางทวิตเตอร์ของเขาว่า มัลแวร์ Flame ที่กำลังแพร่ระบาดอยู่นั้นใช้ Windows Update ในการแพร่กระจาย โดยใช้โมดูล Gadget พร้อมกับมีโปรแกรมชื่อ "WuSetupV.exe" เป็นตัวมัลแวร์จริงๆ ที่ถูกติดตั้ง และจะมีการแพร่กระจายผ่านทางเน็ตเวิร์คภายในโดยมีการ สร้างเซิฟเวอร์จำลองชื่อ "MSHOME-F3BE293C" ด้วย
หลังจากนั้นทาง Symantec ได้เผยการวิจัยวิธีการที่ Flame ใช้ในการแพร่กระจายเบื้องต้นซึ่งมันยังใช้ฟีเจอร์Web Proxy Auto-Discovery Protocol (WPAD) ของ Internet Explorer ร่วมกับ Windows Update ในการแพร่กระจายด้วย
โดยปกตินั้นซอฟต์แวร์ที่จะผ่านทาง Windows Update ได้นั้นจำเป็นต้องได้รับการรับรองจาก Microsoft และมี certificate ว่าซอฟต์แวร์นั้นๆ ได้รับอนุญาต แต่ในกรณีของ Flame กลับพบว่าตัวมัลแวร์ก็ได้รับการรับรองเช่นเดียวกับซอ ฟต์แวร์ธรรมดา Microsoft จึงรีบออกแพตซ์เพื่อปิดช่องโหว่นี้ทันที พร้อมทั้งถอดถอนการรับรองปลอมของ Flame
ต่อมาได้มีการให้สัมภาษณ์จากผู้เชี่ยวชาญด้านการถอดร หัสระดับโลกอ้างว่า Flame ได้ใช้หลักการ MD5 chosen-prefix collision attack ในการปลอมแปลงการรับรองของ Microsoft ซึ่งนับว่ามันเป็นตัวอย่างแรกที่นำทฤษฎีนี้มาใช้อย่า งจริงจังและประสบผลสำเร็จในการโจมตี และยังทำให้นักถอดรหัสทั่วโลกตกตะลึงอีกด้วย ผู้เชี่ยวชาญด้านการถอดรหัสกล่าวว่านี่อาจเป็นผลงานจ ากการวิจัยด้านการเข้ารหัสในระดับสูง ซึ่งนั่นก็สอดคล้องกับข้อสรุปจาก Kaspersky Lab, CrySyS Lab, และ Symantec ว่า Flame อาจถูกสร้างมาโดยมีชาติใดชาติหนึ่งที่มีบุคลากรคุณภา พสูงอยู่เบื้องหลังและจำเป็นต้องมีนักถอดรหัสที่มีคว ามเชี่ยวชาญสูงรวมอยู่ด้วย
ที่มา - @craiu (1,2), H Online, Symantec, Computerworld (1,2), Ars Technica


More...