Flame:史上最危险的病毒
最近国内外众媒体纷纷报道出现了一种新的恶意病毒 Flame ( Worm.Win32.Flame ,又称 Flamer 或 sKyWlper 、Skywiper 等),中文名“火焰病毒”、“超级火焰病毒”。Flame 被包括世界电信联盟等官方以及卡巴斯基等国际权威厂商认定为迄今为止最复杂、最危险、最致命的病毒威胁。那么这个 Flame 到底是什么样的病毒呢,值得被冠以“最复杂、最危险”“最厉害”甚至“设计最巧妙”“最隐密”“最致命”等众多称号呢?面对 Flame 病毒我们到底值不值得防范,以及又应当如何防范呢?注:由于 Flame 病毒具有混合型特征,集文件传染、蠕虫、木马、黑客程序的特点于一身,以下统称 Flame 为 Flame 病毒,请勿纠结病毒、木马、间谍软件等概念。
Flame 病毒是什么?
Flame 是于 2012 年 5 月被发现的电脑病毒,其构造复杂,可以通过USB存储器以及网络复制和传播,并能接受来自世界各地多个服务器的指令。目前被定性为“工业病毒”。
http://img170.poco.cn/mypoco/myphoto/20120608/13/5239469920120608130956082.jpg
最复杂
Flame 病毒用上了 5 种不同的加密算法,3 种不同的压缩技术,和至少 5 种不同的文件格式,包括其专有的格式。并将它感染的系统信息以高度结构化的格式存储在SQLite 等数据库中,病毒文件达到 20MB 之巨(代码打印出来的纸张长度达到2400米)。此外,还使用了游戏开发用的 Lua 脚本语言编写,使得结构更加复杂。
最危险
高潜伏性
据悉 Flame 病毒出现的最早时间可追溯到 2007 年,并推测可能于 2010 年 3 月就被攻击者放出(攻击伊朗石油部门的商业情报),但由于其结构的复杂性和攻击目标具有选择性,安全软件一直未能发现它。目前一致看法是 Flame 病毒可能已经以某种形式活跃了长达 5 至 8 年的时间,甚至还可能更久。这种高潜伏性很是危险。此外,一旦完成搜集数据任务,这些病毒还可自行毁灭,这也是其能够长期潜伏的原因之一。
高危害性
一旦感染 Flame 病毒并激活组件后,它会运用包括键盘,屏幕,麦克风,移动存储设备,网络,WIFI,蓝牙,USB和系统进程在内的所有的可能条件去收集信息,然后将用户浏览网页、通讯通话、账号密码以至键盘输入等纪录,甚至利用蓝牙功能窃取与被感染电脑相连的智能手机、平板电脑中的文件发送给远程操控病毒的服务器。此外,即便与服务器的联系被切断,攻击者依然可通过蓝牙信号对被感染计算机进行近距离控制。从功能角度是非常强大的,可以称之为偷盗技术全能,覆盖了用户使用电脑的所有输入输出的接口。
当然这种全方位的获取信息并不是针对每个人的,微软也表示 Flame 病毒主要用于进行高度复杂且极具针对性的攻击,它会从 PDF、电子表格和 Word 文档等文件中提取 1KB 样本,压缩和上传样本到命令控**务器,然后攻击者发出指令抓取他们感兴趣的特定文档。据悉 Flame 病毒在所有文件中对 AutoCAD 绘图文件最为比较感兴趣。
最近,微软安全调查人员表示,此前具有高针对性的 Flame病毒目前已经开始攻击使用 Windows Update 的微软用户,微软认为这种情况是 Flame 病毒使用的某些技术被一些低级攻击者用于了更广泛的攻击,它通过设置伪造的服务器,绕过合法的 Windows Update,当电脑连接到网络上时,用户们就会看到伪装成正版的微软更新软件,而此时 Flame 病毒就从伪造的服务器传输到电脑里。这种利用微软数字签名欺骗漏洞进行伪装,使其看起来“像是由微软发布的软件”,突破了众多杀毒软件的拦截。目前微软已发布“灭火”补丁并新增了三个证书授权来消除此风险。虽然这些措施缓解了目前 Windows 用户受到的威胁,但其还还没有彻底根治解决 Flame 病毒。
Flame 病毒开始主要集中攻击中东地区,包括伊朗 189 例、以色列和巴勒斯坦 98 例,以及叙利亚、黎巴嫩、沙特等国家。目前世界范围内受感染电脑数量估测在 1000 至 5000 台之间。目前推测 Flame 病毒与之前攻击伊朗**和工业控制系统的 stuxnet (震网)和 Duqu (毒区)有关联,并被认为可能是由某些国家政府机构提供大量资金和技术支持而研制的,目的为用于网络战争。
http://img13.poco.cn/mypoco/myphoto/20120608/13/5239469920120608132108070.jpg
来源目前不得而知,但是它的危险性是无容置疑的,对于政企等涉密机构来说 Flame 病毒绝对是需要重点防范的对象, 目前,瑞星公司已对全线产品进行了紧急升级,瑞星用户已能够拦截并彻底查杀此病毒。
综合来说,Flame 病毒依旧处于“雷声大,雨点小”的状态,目前还没有证据表明 Flame 病毒在中国存在实际上感染的事例,因此确实我们无需太过紧张。Flame 病毒因为之前的stuxnet 和 Duqu 病毒所带来的“狼来了”效应使得它获得很大的关注,这在一定程度上使其危害性得到了不少放大,那些“最**”就是记号。诚然,它本身的危险性确实很高,但综合来说还是一款针对政企的工业病毒,对普通用户来说直接威胁性不是很大。当然这也不能作为我们麻痹大意的借口,该预防一下还是要预防一下。
如何预防 Flame 病毒?
1. 普通青年
继续等待微软补救措施,及时更新官方补丁,然后转载此文到 QQ 空间和人人网,提醒亲朋好友注意升级。:-)
2. 极客青年
除了关注中东某朗国家、国内外杀软官方微博以及 CrySyS实验室、WOOYUN 等安全团队外,坐等 G*W*F 升级,毕竟这些需要将资料上传到国外服务器的病毒在某墙面前都是纸老虎,假如真的 Flame 病毒浩浩荡荡杀过来了,它可以为您阻挡一切外来入侵者!此外还要做好备份,一旦出事立马格机,然后再原地满血复活。
3. 鸵鸟青年
关机、拔网线。
确实是很厉害的病毒,大家都自己小心点,装好杀毒软件! 一定要有像瑞星这样的专业安全软件才会更加安全啊。 第一次听到。 本帖最后由 潜力新股 于 2012-7-6 15:34 编辑
这病毒这么狠呀,那我得小心了,免得自己电脑中毒了!1
页:
[1]