Организация WikiLeaks в очередной раз опубликовала порцию документов о шпионских программах ЦРУ, благодаря которым американское федеральное агенство крала конфиденциальную информацию пользователей с различных устройств. На этот раз речь идет о проекте под названием Angelfire, с помощью которого сотрудники ЦРУ взламывали компьютеры на базе Windows XP и 7.
Angelfire состоит из пяти утилит, взаимодействующих друг с другом. Программа Solartime, входящая в состав Angelfire, предназначена для подмены загрузочного сектора и последующей установки другой утилиты — Woolfcreek. Этот вредонос включает в себя несколько компонентов, позволяющих установить различные вирусные драйверы и приложения.
Программа под названием Keystone, являющаяся одной из ключевых компонентов Angelfire, позволяет агентам ЦРУ устанавливать на компьютеры непосредственно программы для кражи информации пользователя. Компонент BadMFS создает специальную зашифрованную файловую систему, на основе которой работают вирусы в обфусцированном виде. Утилита Windows Transitory File System является неким аналогом BadMFS и задействуется лишь в особых случаях.
Несмотря на все, вредоносные утилиты пакета Angelfire довольно легко обнаружить — Keystone всегда маскируется под файл svchost.exe, находящийся в папке C:\Windows\system32 (даже если операционная система установлена в другом разделе). К тому же, любая возникающая ошибка в работе вредоносных компонентов сопровождается уведомлениями, которые видны пользователю.