WikiLeaks обнародовала документы, касающиеся очередного хакерского инструмента ЦРУ, предназначенных для устройств с Windows XP и 7 и состоящих из 5 разных компонентов.
В составе проекта Angelfire присутствует вредоносная программа Solartime, которая предназначена для внесения изменений в загрузочный сектор, которые позволят установить на компьютер еще один компонент – Woolfcreek. Этот инструмент включает в себя комплект драйверов, позволяющих загрузить другие функциональные части вируса, такие как драйверы и приложения.
С помощью третьего компонента – Keystone – агенты ЦРУ осуществляли установку дополнительного вредоносного ПО на взломанные системы. Четвертая часть – BadMFS – является файловой системой, позволяющей хранить остальные элементы Angelfire в зашифрованном виде.
Пятый компонент – Windows Transitory File System – является альтернативой для выше упомянутой утилиты BadMFS. Данный инструмент задействует временные файлы и не работает с локальной файловой системой.
Несмотря на многослойность и сложность Angelfire, составные части этого комплекса могут быть обнаружены без особого труда. Так, Keystone замаскирован под процесс svchost.exe и всегда размещается в папке system32. При переустановке операционной системы на другой диск, вредоносный процесс может быть с легкостью выявлен. Помимо этого, система BadMFS запрашивает файл zf, который может быть обнаружен на компьютере пользователем. Также следует отметить, что при аварийном завершении работы любой из частей Angelfire на экране будут отображаться соответствующие уведомления.
