STATEMENT

Our Laboratory of Cryptography and System Security (CrySyS Lab.) participated in an international collaboration aiming at the analysis of an as yet unknown malware, which we call sKyWIper. We had indications that pieces of the malware was probably identified and uploaded from European parties onto binary analysis sites in the past. Hence, our participation in the investigation efforts was justified by the possibility that one or more European countries may be affected by the threat. Later, we received information that, indeed, sKyWIper is active in some European countries, including Hungary, our home country. This made it clear for us that our analysis results must be disclosed by publishing a detailed technical report on the malware.

Given the limited amount of time and other resources that were available for us, the goal of our analysis was to get a quick understanding of the malware's purpose, and to identify its main modules, storage formats, encryption algorithms, injection mechanisms and activity in general. Our analysis results should help other parties with more resources to get started and continue the analysis producing more detailed results, as well as detection and clean-up mechanisms. The technical report that contains the results of our analysis of sKyWIper is available at:
http://www.crysys.hu/skywiper/skywiper.pdf

Before publishing our report, we alerted the most prominent anti-virus vendors, the Hungarian CERT, and other relevant authorities to the threat. In addition, we shared our samples within the anti-virus industry at the time of the publication. We are ready for further cooperation in the technical analysis of sKyWIper, and for information
sharing with other competent parties.

Update: It appears that the sKyWIper malware is the same as “Flame” discovered by Kaspersky (Kaspersky report) and the malware that Iran National CERT (MAHER) calls “Flamer” (MAHER CERT news).

NYILATKOZAT

Laborunk, a CrySyS Adat- és Rendszerbiztonság Laboratórium (CrySyS Lab), egy nemzetközi együttműködés keretében részt vett egy eddig ismeretlen malware elemzésében. Csapatunk a malware-t sKyWIper-nek nevezte el az általa használt ideiglenes fájlok elnevezése (KWI) után. Információink szerint a malware egyes komponenseit már korábban feltöltötték malware analízissel foglalkozó weboldalakra európai IP címekről. Részvételünket elsődlegesen az európai fenyegetettség lehetősége motiválta. Később bizonyítékok igazolták Európa, azon belül is Magyarország fenyegetettségét. Az új információk világossá tették számunkra, hogy a sKyWIper elemzésünket tartalmazó riportot azonnal meg kell osztani a védekezésben illetékes szervekkel és cégekkel.

A rendelkezésre álló idő és erőforrások szűkössége miatt az elemzésünk a malware átfogó működésére koncentrál, így a fókuszban a malware moduláris felépítése, az adattárolási formátumok, titkosító algoritmusok, és a használt injekciós módszerek állnak. Nem volt célunk, és nem állt elegendő erőforrás rendelkezésünkre, hogy az egyes modulokat részletesen elemezzük, célunk inkább a további részletes
elemzés megalapozása volt. Az analízisünk eredményét a következő linken található dokumentumban foglaltuk össze:
http://www.crysys.hu/skywiper/skywiper.pdf

Az elemzésünk publikálása előtt értesítettük a főbb antivírusgyártó cégeket, a magyar CERT-et, és más illetékes szervezeteket. Emellett, a publikációval egyidőben megosztottuk a rendelkezésünkre álló malware mintákat az antivírusgyártó cégekkel, hogy a megfelelő detekciók azonnal belekerülhessenek a termékeikbe. A továbbiakban is készek vagyunk az együttműködésre a sKyWIper malware technikai analízisében, illetve a releváns információk megosztásában az erre illetékes szervezetekkel.

Update: A legújabb hírek szerint úgy tűnik, hogy a sKyWIper malware megegyezik a Kaspersky Labs által felfedezett “Flame”-el (Kaspersky report) és az iráni nemzeti CERT (MAHER) által “Flamer”-nek (MAHER CERT news) nevezett malware-el.