В начале июня, эксперты компании Symantec зафиксировали восстановление деятельности нескольких доменов, используемых для управления трояном Flame (W32.Flamer). Управляющие центры восстановили свою активность для передачи новой версии модуля для выполнения самоуничтожения трояна на инфицированных системах. По неизвестным пока причинам, авторы трояна отказались от использования, ранее обнаруженного специалистами, компонента самоуничтожения под названием "SUICIDE". Вместо этого, зная о пристальном внимание к созданному ими вредоноса, они распространили новый модуль удаления трояна ("browse32.ocx"), который легко поддается анализу. Его программный код состоит из двух основных процедур "EnableBrowser" (инициализация процесса удаления) и "StartBrowse" (удаление всех компонентов трояна). Удаление происходит с использованием техники перезаписи данных, что уменьшает вероятность восстановления информации о деятельности трояна. Примечательно, что в программном коде нового модуля удаления явно указываются все файлы, используемые трояном и подлежащие уничтожению. Кроме того, новый модуль самоуничтожения был создан 9 мая 2012 года, что на несколько недель раньше публичного распространения информации о самом трояне. Таким образом, можно сделать вывод, что обнаруженные зараженные системы не имели постоянного контакта с управляющими центрами, а значит и информация о наиболее подверженных заражению странах не является объективной.
Подробности