泥客网 - 发布最实用的电脑技术,最新鲜的网文!
泥客注册 | 加入收藏 |
泥客广告牌
关键词:调侃 探索 电脑 网络 轻松 精彩 移动 高谈

文章中心

您的当前位置:泥客网 >> 科技 >> 电脑病毒 >> 浏览文章

火焰病毒

2012-06-05 21:44:46 文章来源:泥客论坛 字体:

简介

“火焰”病毒的全名为Worm.Win32.Flame,它是一种后门程序和木马病毒,同时又具有蠕虫病毒的特点。只要其背后的操控者发出指令,它就能在网络、移动设备中进行自我复制。一旦电脑系统被感染,病毒将开始一系列复杂的行动,包括监测网络流量、获取截屏画面、记录音频对话、截获键盘输入等。被感染系统中所有的数据都能通过链接传到病毒指定的服务器,让操控者一目了然。据卡巴斯基实验室统计,迄今发现感染该病毒的案例已有500多起,其中主要发生在伊朗、以色列和巴勒斯坦。苏丹、叙利亚、黎巴嫩、沙特阿拉伯和埃及等国也有个别案例。病毒入侵的起始点目前尚不清楚。

“火焰”设计极为复杂,能够避过100种防毒软件。感染该病毒的电脑将自动分析自己的网络流量规律,自动录音,记录用户密码和键盘敲击规律,将用户浏览网页、通讯通话、账号密码以至键盘输入等纪录及其他重要文件发送给远程操控病毒的服务器。

火焰病毒被认为是迄今为止发现的最大规模的和最为复杂的网络攻击病毒。

起因

2012年5月,俄罗斯安全专家发现一种威力强大的电脑病毒“火焰”(Flame)在中东地区大范围传播。俄罗斯电脑病毒防控机构卡巴斯基称,这种新病毒可能是“某个国家专门开发的网络战武器”。“火焰”病毒最早可能于2010年3月就被攻击者放出,但一直没能被其他网络安全公司发现。“火焰”病毒出现的最早时间甚至可追溯到2007年。

除卡巴斯基外,匈牙利的两家反电脑病毒实验室和伊朗反电脑病毒机构也发现了上述全新的蠕虫病毒。

特点

“火焰”病毒构造复杂,此前从未有病毒能达到其水平,是一种全新的网络间谍装备。该病毒可以通过USB存储器以及网络复制和传播,并能接受来自世界各地多个服务器的指令。感染“火焰”病毒的电脑将自动分析自己的网络流量规律,自动录音,记录用户密码和键盘敲击规律,并将结果和其他重要文件发送给远程操控病毒的服务器。

一旦完成搜集数据任务,这些病毒还可自行毁灭,不留踪迹。

从现有规律看,这种病毒的攻击活动不具规律性,个人电脑、教育机构、各类民间组织和国家机关都曾被其光顾过。

电子邮件、文件、消息、内部讨论等等都是其搜集的对象。

攻击范围

卡巴斯基实验室公布统计数字,确认新型电脑病毒“火焰”入侵中东地区。

遭受该毒感染的国家包括伊朗(189个目标遭袭),以色列和巴勒斯坦(98个目标遭袭),苏丹 (32个目标遭袭),叙利亚 (30 个目标遭袭),黎巴嫩 (18 个目标遭袭),沙特阿拉伯(10个目标遭袭)和埃及 (5个目标遭袭)。

开发者

由于破解病毒需要一定时间,截至2012年5月28日,还未查出源头。

杀毒软件厂商卡巴斯基指出,有证据显示,开发“火焰”病毒的国家可能与开发2010年攻击伊朗核项目的蠕虫病毒的国家相同。但是,他们尚未确定该病毒是否像攻击伊朗核项目的蠕虫病毒那样拥有特殊任务,并拒绝说出他们认为是谁开发了该病毒。2010年,伊朗离心机遭受计算机蠕虫入侵,使伊朗核计划遭受挫折。伊朗曾指责美国和以色列释放了这些蠕虫病毒。

伊朗外交部发言人指责是以色列制造“火焰”病毒,又说这些网络攻击手段,不会成功。

“火焰”的新特点

首先,在恶意程序中使用Lua就是非同寻常的,特别是在这么大的一个攻击工具中。一般来说,现代恶意程序大小都偏小,并用紧凑的编程语言进行编写,这样的话能很好的将其隐藏。因此,通过大量的代码实现隐藏是Flame的新特点之一。

其次,记录来自内部话筒音频数据也是相当新的手段。当然,其它一些已知的恶意程序也能够记录音频数据,但是Flame的关键不同是它很全面——能够以各种各样的手段盗取数据。

最后,Flame另外一个令人称奇的特点就是对蓝牙设备的使用。当设备的蓝牙功能开启的时候,Flame可以将配置模块中的相关选项同时开启,当发现有设备靠近被感染的计算机时,就可以收集设备中的信息。有赖于这样的配置,它还能以受感染的计算机做为一个“灯塔”,发现通过蓝牙传输的设备,并为背后的操控者提供有关编入到设备信息中的恶意程序状态。

关联病毒

与曾经攻击伊朗核项目计算机系统的“震网病毒”相比,“火焰”病毒不仅更为智能,且其攻击目标和代码组成也有较大区别。“火焰”病毒的攻击机制更为复杂,且攻击目标具有特定地域的地点。

“火焰”病毒最早可能于2010年3月就被攻击者放出,但一直没能被其他网络安全公司发现。“火焰”病毒出现的最早时间甚至可追溯到2007年。“震网”和“毒区”两款病毒的创建时间也大概为2007年前后。

“火焰”病毒部分特征与先前发现的“震网”和“毒区”两款病毒类似,显示三种病毒可能“同宗”。网络分析专家认为,已形成“网络战”攻击群。“震网”病毒攻击的是伊朗核设施,“毒区”病毒攻击的是伊朗工业控制系统数据,而“火焰”病毒攻击的则是伊朗石油部门的商业情报。

掌上泥客
进入论坛论坛热帖
非凡