Flame to kolejny szkodliwy program, który został niedawno wykryty przez Kaspersky Lab. Flame jest powszechnie uważany za narzędzie szpiegowskie, które ma wpływ tylko na komputery z systemem operacyjnym Microsoft Windows. Został nazwany przez Kaspersky Lab jako „Płomień”, ponieważ główny moduł odpowiedzialny za atak i infekowanie dodatkowych maszyn nosi nazwę Flame [8]. Flame jest również znany pod nazwami Flamer i SkyWiper, zgodnie z nazwami różnych innych organizacji, które twierdzą, że go wykryły. W porównaniu z innymi złośliwymi programami Flame ma dość duże rozmiary; jednakże jest zaprojektowany w taki sposób, że wykrycie jest prawie niemożliwe. Ogromne rozmiary Flame’a przypisuje się temu, że zawiera kilka modułów, takich jak zdekompresowane biblioteki, baza danych SQLite i maszyna wirtualna LUA, których nie widać w żadnym innym złośliwym oprogramowaniu [9]. Najbardziej uderzającym aspektem Flame jest jego nieuchwytna natura przez lata. Fakt, że to niebezpieczne złośliwe oprogramowanie szpiegowskie wymykało się kontroli bezpieczeństwa przez tak długi czas, pokazuje, jak jego podobna struktura do komercyjnego oprogramowania i wykorzystanie gotowych technik, takich jak SSL, SSH i baza danych SQL, pomogły mu wtopić się w z innym ruchem aplikacji. Płomień jest przeznaczony głównie do kradzieży informacji; w związku z tym jest uważana za ukierunkowaną broń szpiegowską. Został napisany w języku skryptowym Lua, aby uniknąć inżynierii wstecznej. Flame może nagrywać dźwięk otoczenia przez mikrofon, przechwytywać zrzuty ekranu, rejestrować aktywność klawiatury, monitorować ruch w sieci i nagrywać rozmowy przez Skype, dzięki czemu jest jednym z najpotężniejszych narzędzi szpiegowskich, jakie kiedykolwiek wykryto. Co więcej, to również sprawia,że zainfekowaną maszynę można wykryć przez Bluetooth, co dodatkowo zwiększa podatność urządzenia. Flame może również zainfekować w pełni załatany komputer z systemem Windows 7, co wskazuje na możliwą obecność nieznanego ataku typu zero-day. Istotną różnicą w stosunku do innych złośliwych programów jest obsługa przez Flame polecenia zabicia. Polecenie „zabić” Flame’a usuwa wszelkie ślady złośliwego oprogramowania z zainfekowanego komputera. Flame używa około pięciu metod szyfrowania, stając się tym samym jednym z dużych złośliwych programów. Duży rozmiar płomienia utrudniał rozprzestrzenianie się. Jednak nawet przy dużych rozmiarach skomplikowany proces szyfrowania zastosowany przez Flame pomógł uniknąć wykrycia. Flame komunikuje się ze zdalnymi serwerami zarówno w celu przesyłania danych zebranych z zaatakowanej maszyny, jak i otrzymywania instrukcji. Szkodliwe oprogramowanie wykorzystywało około 50 różnych domen do kontaktu z serwerem dowodzenia i kontroli (CCS) oraz ponad 15 różnych adresów IP. CCS są często zmieniane poprzez zmianę adresu IP konkretnego hosta przy użyciu dobrze znanej techniki fluxingu, która umożliwia posiadanie wielu adresów IP dla jednej w pełni kwalifikowanej nazwy domeny i jest używana przez botnety. Z powodu tych wyrafinowań bardzo trudno jest śledzić wykorzystanie wdrożenia