文章插图
火焰病毒【火焰病毒】火焰病毒和熊猫烧香一样也是一种经过多次变种的“蠕虫病毒”变种,2005年10月9日开始肆虐网路,它主要通过下载的档案传染 。对电脑程式、系统破坏严重 。2007年蔓延全世界 。2014年1月被WEB信息安全团队封杀 。2014年7月因不明原因而重生 。
基本介绍中文名:火焰病毒
外文名:Worm.Win32.Flame
出现时间:2005年10月9日
实质:一种后门程式和木马病毒
简介“火焰”病毒的全名为Worm.Win32.Flame,它是一种后门程式和木马病毒,同时又具有蠕虫病毒的特点 。只要其背后的操控者发出指令,它就能在网路、移动设备中进行自我複製 。一旦电脑系统被感染,病毒将开始一系列複杂的行动,包括监测网路流量、获取截屏画面、记录音频对话、截获键盘输入等 。被感染系统中所有的数据都能通过连结传到病毒指定的伺服器,让操控者一目了然 。据卡巴斯基实验室统计,迄今发现感染该病毒的案例已有500多起,其中主要发生在伊朗、以色列和巴勒斯坦 。苏丹、叙利亚、黎巴嫩、沙乌地阿拉伯、埃及和中国(家庭电脑较多)等国也有个别案例 。“火焰”设计极为複杂,能够避过100种防毒软体 。感染该病毒的电脑将自动分析自己的网路流量规律,自动录音,记录用户密码和键盘敲击规律,将用户浏览网页、通讯通话、账号密码以至键盘输入等纪录及其他重要档案传送给远程操控病毒的伺服器 。火焰病毒被认为是迄今为止发现的最大规模和最为複杂的网路攻击病毒 。2012年5月,俄罗斯安全专家发现一种威力强大的电脑病毒“火焰”(Flame)在中东地区大範围传播 。俄罗斯电脑病毒防控机构卡巴斯基称,这种新病毒可能是“某个国家专门开发的网路战武器” 。“火焰”病毒最早可能于2010年3月就被攻击者放出,但一直没能被其他网路安全公司发现 。“除卡巴斯基外,匈牙利的两家反电脑病毒实验室和伊朗反电脑病毒机构也发现了上述全新的蠕虫病毒 。Flame(火焰)是一种高度複杂的恶意程式,被用作网路武器并已经攻击了多个国家 。卡巴斯基实验的专家们是在参与国际电联(ITU)发起的一项技术分析调查中发现Flame的 。Flame被用来执行网路间谍活动 。它可以盗取重要信息,包括计算机显示内容、目标系统的信息、储存的档案、联繫人数据甚至音频对话记录 。其複杂性和功能性已经超过其它任何已知的网路武器 。Flame是迄今发现为止程式最大的网路武器,其设计结构让其几乎不能被追查到 。然而,一般的恶意程式都比较小,以此方便隐藏 。而庞大的Flame程式竟然能够让其未被发现 。Flame通过複杂先进的技术感染计算机,而这些技术仅在之前的一个网路武器中被用到——Stuxnet 。儘管Flame早在2010年3月就开始活动,但直到卡巴斯基实验室发现之前,没有任何的安全软体将其检测到 。特点“火焰”病毒构造複杂,此前从未有病毒能达到其水平,是一种全新的网路间谍装备 。该病毒可以通过USB存储器以及网路複製和传播,并能接受来自世界各地多个伺服器的指令 。感染“火焰”病毒的电脑将自动分析自己的网路流量规律,自动录音,记录用户密码和键盘敲击规律,并将结果和其他重要档案传送给远程操控病毒的伺服器 。一旦完成蒐集数据任务,这些病毒还可自行毁灭,不留蹤迹 。从现有规律看,这种病毒的攻击活动不具规律性,个人电脑、教育机构、各类民间组织和国家机关都曾被其光顾过 。电子邮件、档案、讯息、内部讨论等等都是其蒐集的对象 。攻击範围卡巴斯基实验室公布统计数字,确认新型电脑病毒“火焰”入侵中东地区 。遭受该毒感染的国家包括伊朗(189个目标遭袭),以色列和巴勒斯坦(98个目标遭袭),苏丹(32个目标遭袭),叙利亚(30 个目标遭袭),黎巴嫩(18 个目标遭袭),沙乌地阿拉伯(10个目标遭袭)和埃及(5个目标遭袭) 。Flame的攻击目标包括个人计算机、国家机关甚至教育机构 。Flame是一种複杂的恶意程式,可以盗取大量的数据和各种各样的信息 。卡巴斯基实验室的专家们正在进一步分析Flame,并陆续公布相关的分析结果 。开发者由于破解病毒需要一定时间,截至2012年7月1日,还未查出源头 。防毒软体厂商卡巴斯基指出,有证据显示,开发“火焰”病毒的国家可能与开发2010年攻击伊朗核项目的蠕虫病毒的国家相同 。但是,他们尚未确定该病毒是否像攻击伊朗核项目的蠕虫病毒那样拥有特殊任务,并拒绝说出他们认为是谁开发了该病毒 。2010年,伊朗离心机遭受计算机蠕虫入侵,使伊朗核计画遭受挫折 。伊朗曾指责美国和以色列释放了这些蠕虫病毒 。伊朗外交部发言人指责是以色列製造“火焰”病毒,又说这些网路攻击手段,不会成功 。虽然还没有任何方面承认,但已有许多证据表明火焰和震网病毒来自一个强大的幕后黑手:方程式组织(Equation Group)新特点首先,在恶意程式中使用Lua就是非同寻常的,特别是在这幺大的一个攻击工具中 。一般来说,现代恶意程式大小都偏小,并用紧凑的程式语言进行编写,这样的话能很好的将其隐藏 。因此,通过大量的代码实现隐藏是Flame的新特点之一 。其次,记录来自内部话筒音频数据也是相当新的手段 。当然,其它一些已知的恶意程式也能够记录音频数据,但是Flame的关键不同是它很全面——能够以各种各样的手段盗取数据 。最后,Flame另外一个令人称奇的特点就是对蓝牙设备的使用 。当设备的蓝牙功能开启的时候,Flame可以将配置模组中的相关选项同时开启,当发现有设备靠近被感染的计算机时,就可以收集设备中的信息 。有赖于这样的配置,它还能以受感染的计算机做为一个“灯塔”,发现通过蓝牙传输的设备,并为背后的操控者提供有关编入到设备信息中的恶意程式状态 。关联病毒与曾经攻击伊朗核项目计算机系统的“震网病毒”相比,“火焰”病毒不仅更为智慧型,且其攻击目标和代码组成也有较大区别 。“火焰”病毒的攻击机制更为複杂,且攻击目标具有特定地域的地点 。“火焰”病毒出现的最早时间甚至可追溯到2007年12月 。“震网”和“毒区”两款病毒的创建时间也大概为2007年前后 。“火焰”病毒部分特徵与先前发现的“震网”和“毒区”两款病毒类似,显示三种病毒可能“同宗” 。网路分析专家认为,已形成“网路战”攻击群 。“震网”病毒攻击的是伊朗核设施,“毒区”病毒攻击的是伊朗工业控制系统数据,而“火焰”病毒攻击的则是伊朗石油部门的商业情报 。病毒防範想判断是否中了这种病毒,可以通过查看联网程式来判断 。截至2012年,国内各种杀软已经有专杀供下载 。卡巴斯基实验室最新的个人版产品和企业版产品都能检测并查杀Flame及其所有的变种 。