安全防护技巧

警惕!flame病毒

  Flame病毒(又名火焰病毒)是于2012年5月被卡巴斯基首次发现的超级电脑病毒,其构造十分复杂,危害性巨大,可以通过USB存储器以及网络复制等多种方式传播,并能接受来自世界各地多个服务器的指令,堪称目前世界上最复杂、最危险的病毒。

编辑本段
病毒详情
 
  该病毒由卡巴斯基首先发现,并根据该病毒内部代码所含字样,而将其命名为“Flame”。卡巴斯基称,Flame实际上是一个间谍工具包。至少过去两年中,Flame病毒已感染了伊朗、黎巴嫩、叙利亚、苏丹、其他中东和北非国家的相应目标计算机系统。
  卡巴斯基称,与曾经攻击伊朗核项目计算机系统的Stuxnet病毒的相比,Flame病毒不仅更为智能,且其攻击目标和代码组成也有较大区别。卡巴斯基认为,Stuxnet和Flame病毒应该不是同一个(或一群)程序员所为。Flame病毒的攻击机制更为复杂,且攻击目标具有特定地域的地点,这或许表明,Flame病毒的幕后团队很可能由政府机构操纵。
  一些网络安全专家认为,Flame可能也是系列病毒攻击的组成部分,即主持散布Stuxnet和DuQu病毒的幕后团队,同时也邀请其他程序员开发了Flame病毒。
  卡巴斯基联合创始人兼CEO尤金·卡巴斯基(Eugene Kaspersky)在一份声明中表示:“Stuxnet和DuQu病毒属于一系列攻击的组成部分,并引起了全球安全人士的警惕。Flame病毒的发现,意味着互联网安全大战进入到新阶段。我们必须明白,诸如Flame等病毒,能够被轻松用来攻击任何国家。”
编辑本段
病毒危险性
 
潜伏高性
  据悉 Flame 病毒出现的最早时间可追溯到 2007 年,并推测可能于 2010 年 3 月就被攻击者放出(攻击伊朗石油部门的商业情报),但由于其结构的复杂性和攻击目标具有选择性,安全软件一直未能发现它。目前一致看法是 Flame 病毒可能已经以某种形式活跃了长达 5 至 8 年的时间,甚至还可能更久。这种高潜伏性很是危险。此外,一旦完成搜集数据任务,这些病毒还可自行毁灭,这也是其能够长期潜伏的原因之一。
高危害性
  一旦感染 Flame 病毒并激活组件后,它会运用包括键盘,屏幕,麦克风,移动存储设备,网络,WIFI,蓝牙,  Flame病毒可能的传播方式USB和系统进程在内的所有的可能条件去收集信息,然后将用户浏览网页、通讯通话、账号密码以至键盘输入等纪录,甚至利用蓝牙功能窃取与被感染电脑相连的智能手机、平板电脑中的文件发送给远程操控病毒的服务器。此外,即便与服务器的联系被切断,攻击者依然可通过蓝牙信号对被感染计算机进行近距离控制。从功能角度是非常强大的,可以称之为偷盗技术全能,覆盖了用户使用电脑的所有输入输出的接口。
  当然这种全方位的获取信息并不是针对每个人的,微软也表示 Flame 病毒主要用于进行高度复杂且极具针对性的攻击,它会从 PDF、电子表格和 Word 文档等文件中提取 1KB 样本,压缩和上传样本到命令控制服务器,然后攻击者发出指令抓取他们感兴趣的特定文档。据悉 Flame 病毒在所有文件中对 AutoCAD 绘图文件最为比较感兴趣。
  最近,微软安全调查人员表示,此前具有高针对性的 Flame病毒目前已经开始攻击使用 Windows Update 的微软用户,微软认为这种情况是 Flame 病毒使用的某些技术被一些低级攻击者用于了更广泛的攻击,它通过设置伪造的服务器,绕过合法的 Windows Update,当电脑连接到网络上时,用户们就会看到伪装成正版的微软更新软件,而此时 Flame 病毒就从伪造的服务器传输到电脑里。这种利用微软数字签名欺骗漏洞进行伪装,使其看起来“像是由微软发布的软件”,突破了众多杀毒软件的拦截。目前微软已发布“灭火”补丁补丁号为KB2718704)证书授权来消除此风险。虽然这些措施缓解(了目前 Windows 用户受到并新增了三个的威胁,但其还还没有彻底根治解决 Flame 病毒。  病毒感染范围
  Flame 病毒开始主要集中攻击中东地区,包括伊朗 189 例、以色列和巴勒斯坦 98 例,以及叙利亚、黎巴嫩、沙特等国家。目前世界范围内受感染电脑数量估测在 1000 至 5000 台之间。目前推测 Flame 病毒与之前攻击伊朗核设施和工业控制系统的 stuxnet (震网)和 Duqu (毒区)有关联,并被认为可能是由某些国家政府机构提供大量资金和技术支持而研制的,目的为用于网络战争。
编辑本段
间谍软件
 
  卡巴斯基对Flame病毒的初步分析发现,攻击者散布Flame病毒的主要用意是:对被感染机器的用户活动加以跟踪并盗取相关信息,其中包括文档、谈话录音和用户敲击计算机键盘情况等信息。此外,该病毒还会在被感染机器上开启后门,以方便攻击者对已安装到被感染机器当中的工具包加以修订,同时为该工具包增加新功能。
  卡巴斯基认为,Flame是迄今为止所发现攻击机制最为复杂、威胁程度最高的计算机病毒之一。卡巴斯基首席安全专家亚历山大·戈斯捷夫(Alexander Gostev)表示:“Flame病毒的编写和攻击机制都非常复杂。”
  戈斯捷夫认为,Flame病毒最早可能于2010年3月就被攻击者放出,但一直没能被其他安全公司发现,“Flame包含了大量代码。而过去两年中一直没有被安全公司检测到,这种现象相当令人感到奇怪。”戈斯捷夫还表示,一些线索暗示,Flame出现的最早时间甚至可追溯到2007年。外界认为,Stuxnet和DuQu两款病毒的创建时间也大概为2007年前后。
编辑本段
异常复杂
 
  Flame 病毒用上了 5 种不同的加密算法,3 种不同的压缩技术,和至少 5 种不同的文件格式,包括其专有的格式。并将它感染的系统信息以高度结构化的格式存储在SQLite 等数据库中,病毒文件达到 20MB 之巨(代码打印出来的纸张长度达到2400米)。此外,还使用了游戏开发用的 Lua 脚本语言编写,使得结构更加复杂。
  戈斯捷夫表示,由于Flame病毒体积较大,且编写方式非常复杂,因此可能需花上数年时间,才能完全了解  病毒代码该病毒的全部情况,“我们分析Stuxnet病毒花了半年时间。而Flame病毒的复杂程度比Stuxnet高出20倍。要全面了解Flame病毒,我们可能得花上10年时间。”赛门铁克也表示,“火焰”的一些特点是前所未见的,它的复杂性犹如“用核武器去砸核桃”。截至目前国内外杀毒软件没人一家正式发布完整发现该病毒并能够完美拦截。
  卡巴斯基两周前发现了Flame病毒,当时联合国国际电信联盟(ITU)请求卡巴斯基查看一下今年4月的安全分析报告。今年4月期间,伊朗石油部和伊朗国家石油公司遭到了恶意软件攻击,该软件能够盗取和删除相关信息。卡巴斯基在调取相关感染文件后发现,该病毒的攻击目标,似乎仅针对中东各国的计算机系统。
  伊朗计算机紧急情况反应小组周一表示,此前已开发出可检测“Flamer”病毒的工具,这款工具已于今年5月初发送给特定机构使用,该反应小组同时还开发出可删除“Flamer”病毒的工具。卡巴斯基认为,伊朗所说的“Flamer”病毒,与卡巴斯基所说的Flame病毒是一回事。
编辑本段
安全预防
 
  由于来源目前不得而知,但是它的危险性是无容置疑的,对于政企等涉密机构来说 Flame 病毒绝对是需要重点防范的对象,那么对于普通用户来说值不值得防范呢?先看一下国内安全公司的反应。
  1. 金山
  金山表示最早收集到 Flame 病毒的一个组件是在 2010年10 月,因该样本的来源不是实际感染渠道(样本广度为 0),因而该样本未被关注,并认为该病毒未在中国造成实质性的感染。此外根据公开的 Flame 病毒技术资料,开发了简单的 Flame 病毒检测工具,并建议网民勿须对 Flame 病毒感到紧张。
  2. 360
  360 安全中心表示,火焰病毒以伊朗等中东地区的特定机构和个人为攻击目标,中国并不在其攻击范围内。目前已检测到国内感染该病毒残体的少量电脑(百余台),疑似用户不慎通过 U 盘将火焰携带入境。360 已经向用户推送微软官方“灭火”补丁来预防病毒的攻击。
  3. 瑞星
  发布红色安全警报,“目前,瑞星公司已对全线产品进行了紧急升级,瑞星用户已能够拦截并彻底查杀此病毒。”
  综合来说,Flame 病毒依旧处于“雷声大,雨点小”的状态,目前还没有证据表明 Flame 病毒在中国存在实际上感染的事例,因此确实我们无需太过紧张。Flame 病毒因为之前的stuxnet 和 Duqu 病毒所带来的“狼来了”效应使得它获得很大的关注,这在一定程度上使其危害性得到了不少放大,那些“最**”就是记号。诚然,它本身的危险性确实很高,但综合来说还是一款针对政企的工业病毒,对普通用户来说直接威胁性不是很大。
  当然这也不能作为我们麻痹大意的借口,及时更新官方补丁就是最好的预防方法。
 
Windows XP用户防范Flame病毒补丁官方下载地址:http://www.microsoft.com/zh-cn/download/details.aspx?id=29975
 
Windows 7用户防范Flame病毒补丁官方下载地址:http://www.microsoft.com/zh-cn/download/details.aspx?id=29965

全国客服电话: 400-001-7880
值班技术:
13330159245

                       

扫一扫,咨询客服