flame病毒简介.doc

Flame病毒简介 Flame病毒（又名火焰病毒）是于2012年5月被卡巴斯基首次发现的超级电脑病毒，其构造十分复杂，危害性巨大，可以通过USB存储器以及网络复制等多种方式传播，并能接受来自世界各地多个服务器的指令，堪称目前世界上最复杂、最危险的病毒。根据迈克菲实验室的分析，Flame病毒是一种模块化的、可扩展和可更新的，具有广泛隐蔽性和很强攻击性的威胁。病毒详情卡巴斯基首先发现该病毒，根据该病毒内部代码所含字样，而将其命名为Flame”。卡巴斯基称，与曾经攻击伊朗核项目计算机系统的Stuxnet震网病毒的相比，Flame病毒不仅更为智能，且其攻击目标和代码组成也有较大区别。卡巴斯基认为，Stuxnet和Flame病毒应该不是同一个(或一群)程序员所为。Flame病毒的攻击机制更为复杂，且攻击目标具有特定地域的地点，这或许表明，Flame病毒的幕后团队很可能由政府机构操纵。 　　一些网络安全专家认为，Flame可能也是系列病毒攻击的组成部分，即主持散布Stuxnet和DuQu（毒区）病毒的幕后团队，同时也聘请其他程序员开发了Flame病毒。 卡巴斯基联合创始人兼CEO尤金·卡巴斯基(Eugene Kaspersky)在一份声明中表示：Stuxnet和DuQu病毒属于一系列攻击的组成部分，并引起了全球安全人士的警惕。Flame病毒的发现，意味着互联网安全大战进入到新阶段。我们必须明白，诸如Flame等病毒，能够被轻松用来攻击任何国家。 病毒据悉 Flame 病毒出现的最早时间可追溯到 2007 年，并推测可能于 2010 年 3 月就被攻击者放出（攻击伊朗石油部门的商业情报），但由于其结构的复杂性和攻击目标具有选择性，安全软件一直未能发现它。目前一致看法是 Flame 病毒可能已经以某种形式活跃了长达 5 至 8 年的时间，甚至还可能更久。这种高潜伏性很是危险。此外，一旦完成搜集数据任务，这些病毒还可自行毁灭，这也是其能够长期潜伏的原因之一。一旦感染 Flame 病毒并激活组件后，它会运用包括键盘，屏幕，麦克风，移动存储设备，网络，WIFI，蓝牙，USB和系统进程在内的所有的可能条件去收集信息，然后将用户浏览网页、通讯通话、账号密码以至键盘输入等纪录，甚至利用蓝牙功能窃取与被感染电脑相连的智能手机、平板电脑中的文件发送给远程操控病毒的服务器。此外，即便与服务器的联系被切断，攻击者依然可通过蓝牙信号对被感染计算机进行近距离控制。从功能角度是非常强大的，可以称之为偷盗技术全能，覆盖了用户使用电脑的所有输入输出的接口。 图1 Flame病毒可能的传播方式当然这种全方位的获取信息并不是针对每个人的，微软也表示 Flame 病毒主要用于进行高度复杂且极具针对性的攻击，它会从 PDF、电子表格和 Word 文档等文件中提取 1KB 样本，压缩和上传样本到命令控制服务器，然后攻击者发出指令抓取他们感兴趣的特定文档。据悉 Flame 病毒在所有文件中对 AutoCAD 绘图文件最为感兴趣。 最近，微软安全调查人员表示，此前具有高针对性的 Flame病毒目前已经开始攻击使用 Windows Update 的微软用户，微软认为这种情况是 Flame 病毒使用的某些技术被一些低级攻击者用于了更广泛的攻击，它通过设置伪造的服务器，绕过合法的 Windows Update，当电脑连接到网络上时，用户们就会看到伪装成正版的微软更新软件，而此时 Flame 病毒就从伪造的服务器传输到电脑里。这种利用微软数字签名欺骗漏洞进行伪装，使其看起来像是由微软发布的软件，突破了众多杀毒软件的拦截。目前微软已发布灭火补丁补丁号为KB2718704证书授权来消除此风险。虽然这些措施缓解了目前 Windows 用户受到并新增了三个的威胁，但其还还没有彻底根治解决 Flame 病毒。 3、异常复杂Flame 病毒用上了 5 种不同的加密算法，3 种不同的压缩技术，和至少 5 种不同的文件格式，包括其专有的格式。并将它感染的系统信息以高度结构化的格式存储在SQLite等数据库中，病毒文件达到 20MB 之巨（代码打印出来的纸张长度达到2400米）。此外，还使用了游戏开发用的 Lua 脚本语言编写，使得结构更加复杂。 Flame病毒卡巴斯基首席安全专家亚历山大·戈斯捷夫(Alexander Gostev)表示，由于Flame病毒体积较大，且编写方式非常复杂，因此可能需花上数年时间，才能完全了解该病毒的全部情况，我们分析Stuxnet病毒花了半年时间。而Flame病毒的复杂程度比Stuxnet高出20倍。要全面了解Flame病毒，我们可能得花上10年时间。赛门铁克（Symantec也表示，火焰的一些特点是前所未见的，它的复杂性犹如用核武器去砸核桃。截至目前国内外杀毒软件没人