感染地區
台北時間5月29日訊息,據國外媒體報導,俄羅斯反病毒公司卡巴斯基實驗室(以下簡稱“卡巴斯基”)近日表示,一種名為“Flame”的惡意間諜軟體已在中東和北非部分地區得以大範圍傳播,該病毒已經或即將造成的巨大危害不可忽視。
該病毒由卡巴斯基首先發現,並根據該病毒內部代碼所含字樣,而將其命名為“Flame”。卡巴斯基稱,Flame實際上是一個間諜工具包。至少過去兩年中,Flame病毒已感染了伊朗、黎巴嫩、敘利亞、蘇丹以及其他中東和北非國家的相應目標計算機系統。
卡巴斯基稱,或曾經攻擊伊朗
和項目計算機系統的Stuxnet病毒的相比,Flame病毒不僅更為智慧型,且其攻擊目標和代碼組成也有較大區別。卡巴斯基認為,Stuxnet和Flame病毒應該不是同一個(或一群)程式設計師所為。Flame病毒的攻擊機制更為複雜,且攻擊目標具有特定地域的地點,這或許表明,Flame病毒的幕後團隊很可能由政府機構操縱。
一些網路安全專家認為,Flame可能也是系列病毒攻擊的組成部分,即主持散布Stuxnet和duqu病毒的幕後團隊,同時也聘請其他程式設計師開發了Flame病毒。
Flame病毒內部主要模組
卡巴斯基聯合創始人兼CEO尤金・卡巴斯基(Eugene Kaspersky)在一份聲明中表示:“Stuxnet和DuQu病毒屬於一系列攻擊的組成部分,並引起了全球安全人士的警惕。Flame病毒的發現,意味著網際網路安全大戰進入到新階段。我們必須明白,諸如Flame等病毒,能夠被輕鬆用來攻擊任何國家。”
間諜軟體
卡巴斯基對Flame病毒的初步分析發現,攻擊者散布Flame病毒的主要用意是:對被感染機器的用戶活動加以跟蹤並盜取相關信息,其中包括文檔、談話錄音和用戶敲擊計算機鍵盤情況等信息。此外,該病毒還會在被感染機器上開啟後門,以方便攻擊者對已安裝到被感染機器當中的工具包加以修訂,同時為該工具包增加新功能。
卡巴斯基認為,Flame是迄今為止所發現攻擊機制最為複雜、威脅程度最高的計算機病毒之一。卡巴斯基首席安全專家亞歷山大・戈斯捷夫(Alexander Gostev)表示:“Flame病毒的編寫和攻擊機制都非常複雜。”
戈斯捷夫認為,Flame病毒最早可能於2010年3月就被攻擊者放出,但一直沒能被其他安全公司發現,“Flame包含了大量代碼。而過去兩年中一直沒有被安全公司檢測到,這種現象相當令人感到奇怪。”戈斯捷夫還表示,一些線索暗示,Flame出現的最早時間甚至可追溯到2007年。外界認為,Stuxnet和DuQu兩款病毒的創建時間也大概為2007年前後。
特點
異常複雜
戈斯捷夫表示,由於Flame病毒體積較大,且編寫方式非常複雜,因此可能需花上數年時間,才能完全了解該病毒的全部情況,“我們分析Stuxnet病毒花了半年時間。而Flame病毒的複雜程度比Stuxnet高出20倍。要全面了解Flame病毒,我們可能得花上10年時間。”
卡巴斯基兩周前發現了Flame病毒,當時聯合國國際電信聯盟(ITU)請求卡巴斯基查看一下今年4月的安全分析報告。今年4月期間,伊朗石油部和伊朗國家石油公司遭到了惡意軟體攻擊,該軟體能夠盜取和刪除相關信息。卡巴斯基在調取相關感染檔案後發現,該病毒的攻擊目標,似乎僅針對中東各國的計算機系統。
伊朗計算機緊急情況反應小組周一表示,此前已開發出可檢測“Flamer”病毒的工具,這款工具已於今年5月初發送給特定機構使用,該反應小組同時還開發出可刪除“Flamer”病毒的工具。卡巴斯基認為,伊朗所說的“Flamer”病毒,與卡巴斯基所說的Flame病毒是一回事。
近日,一種新的、高度複雜的惡意軟體威脅被幾家安全公司和組織的研究人員所確認,這種惡意軟體主要用於以中東為目標的網路間諜攻擊中。
伊朗計算機應急回響組織將這種新的惡意軟體稱為Flamer,並認為這是最近伊朗數據泄露事件的元兇。該組織周一表示,有理由相信,這種惡意軟體與震網病毒和Duqu病毒威脅相關聯。
病毒研究者對這種病毒也進行了分析並發現,雖然從傳播區域和目標看,這種病毒與震網病毒和Duqu病毒很相似,但從很多方面看,這種病毒比後兩者更為複雜。
這種被稱為Flame的病毒是由許多獨立模組組成的非常大的攻擊工具包。它能執行各種惡意行為,其中大部分與數據竊取和網路間諜有關。
相關信息
除此之外,它還能使用計算機擴音器來錄下對話,提取應用程式細節的截屏,探測網路流量,並能與附近的藍牙設備進行交流。
病毒研究專家Vitaly Kamluk表示,該工具包的第一個版本好像在2010年就開始出現,此後在模組化架構的槓桿作用下進一步擴展。
Flame比Duqu和震網病毒都大很多。Kamluk說,所有Flame組件加起來能達到20MB,單個檔案也有6MB那么大。
另一個有意思的方面是,Flame有些部分是用LUA寫的,這是一種在惡意軟體中非常不常見的程式語言,LUA經常用在計算機遊戲行業中,但在Flame之前,並未見過任何用這種語言寫的惡意軟體。
研究者們並未發現被這種惡意軟體開發的未知0-day漏洞,但已知的是,Flame已經感染了一台完全打好補丁的Windows 7電腦,因此,不能完全排除這種可能性。
當感染被反病毒程式保護的計算機時,Flame會停止進行某種行動或執行惡意代碼,因為這可能引起安全應用程式進行主動檢測。Kamluk表示,這是該病毒得以潛藏如此之久的一個原因。
與Duqu和震網病毒一樣,Flame的製造者也不為人所知。然而,這種惡意軟體的複雜性和所需資源的數量讓安全專家們都認為,這是由一個民族國家創建或發起的。