A nemrég felfedezett, nagy valószínűséggel állami megrendelésre készült és állami célokat szolgáló vírus (skywiper/Flame/Flamer) működtetői nemrég olyan szoftverrészt aktiváltak, melynek következtében a vírus megsemmisíti magát a fertőzött gépeken – közölték a múlt héten a Symantec szakemberei.

A hivatalos blogban közzétett bejegyzés szerint a vírusírók még mindig irányítanak néhány menedzselő (command-and-control – C&C) szervert, és május elején – még a felfedezés hivatalos bejelentése előtt – egy olyan parancsot adtak a botnetet alkotó számítógépek egy részének, hogy indítsák el a frissítésként elküldött browse32.ocx fájlt. A külön e célra írott, két modulból álló (EnableBrowser, StartBrowse) eltávolító program a tapasztalatok szerint igen alapos munkát végzett, végez: a vírus által felhasznált fájlok és mappák listája alapján végignézi a gépet, eltávolítja az árulkodó adatokat, helyüket pedig véletlenszerűen kiválasztott karakterekkel írja felül, és mindezt több-kevesebb sikerrel igyekszik úgy megtenni, hogy sem a Flamernek, sem az eltávolításának ne maradjon nyoma. Épp emiatt nem volt egyszerű a tevékenység felfedése, ezt úgynevezett „csaligépekkel”, külön a vizsgálat céljára megfertőzött számítógépek megfigyelésével sikerült elérni. A vizsgálat arra mutat rá, hogy az „öngyilkossági” program régebbi verzióját, verzióit már korábban is használták.

A Symantec e bejegyzés közzététele előtt már kiadott egy igen lenyűgöző méretű listát, amely azt tartalmazza, hogy a vírus milyen típusú információkra vadászott a célba vett rendszereken.