O Skywiper ou, como é mais conhecido, o Flame, é um dos malwares mais complexos já descobertos até hoje. Há muita especulação sobre quem está por trás desta ameaça.

Seu objetivo não é obter ou desviar recursos financeiros dos computadores infectados. Ele é, fundamentalmente, um roubador de dados. Os usuários infectados têm desde os seus computadores rastreados, suas conversas em chats e aplicativos de mensagens completamente gravadas, dados e arquivos copiados ou excluídos, configurações alteradas, desligamento de mais de 100 programas de segurança, fotos da tela são tiradas, conexões Bluetooth monitoradas… Até o microfone pode ser ligado e todas as conversas transmitidas para mais de uma dezena de servidores em todo o mundo. Estima-se que possua 85 domínios registrados em mais de 20 companhias diferentes. É melhor perguntar o que ele não pode fazer…

Os computadores mais afetados estão no Oriente Médio (Israel e territórios Palestinos), Líbano, Irã, Síria e países do norte da África. Mas o número de computadores infectados é muito pequeno e faz surgir dúvidas se não se trata de uma histeria. Explorando uma falha do Windows, o Flame parece estar direcionado a empresas e instituições acadêmicas, mas também a computadores pessoais. O número estimado de máquinas infectadas era de 5.000 no início da semana passada, quando o malware foi descoberto. Mas suspeita-se que pode ter infectado muitas mais e, depois, ter sido desinstalado pelos servidores remotos por se tratar de vítimas “pouco interessantes”.

O mais surpreendente: tudo isto pode estar ocorrendo faz tempo. Entre dois e cinco anos segundo os cálculos e sem que nenhum antivírus ou programa de segurança pudesse detectá-lo completamente… Tanto o início da sua atividade quanto as suas variantes ainda estão em estudo pelos analistas de vírus.

Se os dados estiverem corretos, o Flame pode ser a maior arma cibernética já descoberta desde que o vírus Stuxnet atacou as usinas nucleares do Iran em 2010 e do Duqu, que também roubava dados dos computadores infectados.

O código do vírus é enorme: 20 vezes o do Stuxnet e 10 vezes os dos que roubam informações financeiras. Há mais de 70 mil linhas de código compilado em linguagem C++ que contém cerca de 170 strings criptografados. Ainda que 20 vezes mais código não o torna 20 vezes mais perigoso. É, por incrível que pareça, uma ferramenta “simples”, menos complexa do que muitos outros vírus já vistos.

O Flame parece infectar os pendrives e também se espalha em pastas contendo arquivos de mídia. Além disso, ele parece se espalhar em redes locais utilizando vulnerabilidades dos sistemas de impressão e de agendamento de tarefas do Windows, mesmo em sistemas do Windows 7 completamente atualizados. Sabe-se que o malware utilizava o sistema do Windows Update para se espalhar, não só em uma atualização “rara”, mas entrando no processo de geração de certificados digitais e constituindo-se um pesadelo para os antivírus: arquivos infectados eram considerados como atualizações legítimas do Windows.

Ainda há muitos pontos obscuros neste malware. De qualquer forma, o avast! o detecta sob o nome de Win32:Skywiper [Trj].