WikiLeaks publicó la documentación sobre el proyecto de la CIA Angelfire un framework de malware desarrollado para infectar los ordenadores Windows.
Según un filtrado manual de la CIA, Angelfire se compone de cinco componentes, cada uno con su propio propósito:- Solartime: El malware que modifica el sector de arranque para cargar Wolfcreek.
- Wolfcreek: Controlador de autocarga que puede cargar otros controladores y aplicaciones en modo de usuario.
- Keystone: Componente que es responsable de iniciar otros implantes (término técnico para software malicioso).
- BadMFS: Un sistema de archivos encubierta que se crea al final de la partición activa. AngelFire utiliza BadMFS para almacenar todos los demás componentes. Todos los archivos están encriptados y ofuscado.
- Sistema de archivos de Windows Transitorio: Un componente nuevo que es una alternativa a BadMFS. En lugar de almacenar archivos en un sistema de archivos secreto, el componente funciona con archivos transitorios (temporales) para el sistema de almacenamiento.
De acuerdo con documentos filtrados, Angelfire funciona en versiones de 32 bits y 64 bits de Windows XP y Windows 7, y en versiones de 64 bits de Windows Server 2008 R2.
El framework Angelfire es sólo una herramienta más en el arsenal de la CIA para cortar los usuarios de Windows. Herramientas anteriores incluyen Grasshopper, ELSA, AfterMidnight, y Assassin.
En comparación con otras herramientas, Angelfire no parece estar muy pulido. Los documentos filtrados incluyen una larga lista de cuestiones.
Por ejemplo, los productos de seguridad podrían detectar la presencia de un sistema de archivos BadMFS por un archivo "ZF" con nombre y los usuarios pueden ver las alertas emergentes cuando uno de los componentes accidente Angelfire.
Además, el componente de Keystone siempre se disfraza en "C:\Windows\system32\svchost.exe", no se puede ajustar de forma dinámica este camino si Windows está instalado en otra partición (por ejemplo: D: \), y la persistencia de DLL en XP es No soportado.
