Vollständig entpackt belegt der Schädling "Flame" rund 20 MByte Speicher. Das Besondere an der Schadsoftware ist dessen modularer Aufbau: Ein Angreifer kann aus 20 Plug-Ins einzelne Bausteine  mit der jeweils gewünschten Funktion auswählen und diese untereinander beliebig austauschen. Laut den Experten von Kaspersky-Lab halten sich die Angreifer eine Hintertür offen, um weitere Komponenten und Module in ein bereits infiziertes System nachzuladen.

Die Module unterscheiden sich in der Daten-Komprimierung und -Verschlüsselung. Für beides hält das Virus verschiedene Bibliotheken vor (zum Beispiel zlib, libbz2, ppmd und sqlite3). Ebenfalls enthalten ist eine Bibliothek für die Skriptsprache Lua. Mit ihr können Programme leichter weiterentwickelt und gewartet werden. Insgesamt umfasst der Quellcode über 3.000 Zeilen in Lua – ein durchschnittlicher Programmierer benötigt dafür etwa einen Monat. Dass die Programmierer Lua nutzen ist ebenso ungewöhnlich wie die Dateigröße.

Spionage in Reinform

Was den Trojaner von bekannten Viren unterscheidet, ist die Möglichkeit, Daten auf verschiedenen Wegen zu stehlen. Keyboard-Sniffer, Screenshots und das Aufnehmen von Audiodaten über das interne Mikrofon eines infizierten Computers werden hier unter anderem von Kaspersky genannt. Über Bluetooth können Informationen von allen in der Umgebung des infizierten Computers gefundenen Geräten heruntergeladen werden. Je nach Konfiguration kann das infizierte Gerät sogar in einen "Leuchtturm" gewandelt werden, den andere Geräte via Bluetooth erkennen.

Das Virus sendet die ausgespähten Daten regelmäßig über einen SSL-Kanal zu einem Server. Den genauen Ablauf analysieren die Kaspersky-Experten gerade. Auch scheint es keine Präferenz hinsichtlich der Informationen zu geben - der Wurm sammelt einfach alles: Emails, Dokumente, Nachrichten bis hin zu Diskussionen an nicht allgemein zugänglichen Orten. Anders als bei "Stuxnet" zielt "Flame" auch nicht auf ein spezielles System; es macht keinen Unterschied zwischen einzelnen Computern oder staatlichen Organisationen und Bildungseinrichtungen.

Wer genau hinter den Angriffen steckt, lässt sich nicht sagen. "Flame" wurde nicht entwickelt, um Geld zu stehlen oder wie Stuxnet, um Anlagen zu stören. Nach Meinung von Kaspersky steckt höchstwahrscheinlich eine staatliche Organisation dahinter; sowohl die geographische Lage der Angriffe, der gewaltige Entwicklungsaufwand als auch die Komplexität des Quellcodes lassen darauf schließen. Vor allem Länder im Nahen Osten wie der Iran, Israel und Palestina, Sudan, Syrien und der Libanon sind betroffen (siehe Grafik in Bildergalerie).

Wann das Virus entwickelt wurde, können die Experten ebensowenig eindeutig bestimmen. Die diversen Zeitstempel reichen von 1992 bis 2012. Allerdings ist ein Entstehungsdatum vor 2010 unwahrscheinlich. Einige Module wurden in den Jahren 2011 und 2012 geschrieben oder verändert. Kaspersky vermutet , dass der Trojaner im Februar/März 2010 in Umlauf gebracht wurde und seit August 2010 aktiv war bziehungsweise noch ist.

Ein Virus mit vielen Namen

Die Experten von Kaspersky-Lab entdeckten den Wurm „Flame«, nachdem die International Telecommunication Union um Hilfe bat. Die Unterorganisation der UN war auf der Suche nach einem Virus mit dem Codenamen "Wiper", der sensible Daten löschte. Während die Experten von Kaspersky den Code analysierten, fanden sie den Virus mit dem Namen "Worm.Win32.Flame". Nach ersten Untersuchungen wurde davon ausgegangen, dass es sich bei "Wiper" nicht um "Flame" handle: Systeme, die von "Wiper" infiziert wurden, konnten nicht wieder hergestellt werden. Der von "Wiper" verursachte Schaden im System sei laut Kaspersky so groß, dass absolut nichts zurückbleibt, um den Angriff zurückverfolgen zu können.

Kaspersky meldet in einem Update, dass es sich bei "Flame" um den gleichen Virus handelt, den CrySyS Lab als "sKyWIper" und die Iran Maher CERT group sowie Symantec als "Flamer" bezeichnen.