|
Flame病毒能夠隨意更改其名稱和擴展名��,迷惑性極強
威脅文件可以根據控制服務器特定的指令和配置使用情況更改文件名和擴展名����。一些情況下�����,Flame可以檢測到特定的防病毒軟件�����,于是就會更改可執行文件 (DLL) 的擴展名���,比如從 OCX 更改為 TMP�。實際上�,通常在受感染的系統上���,尤其是威脅先于安全產品安裝的情況下��,就不需要進行這樣的更改���。
Flame病毒的主模塊超過6MB�����,而完全部署后接近20MB���。毫無疑問��,這是一款包含大量代碼的惡意軟件�,它使用了Zlib�、LUA Interpreter�����、SQLite 支持���、Custom DB 支持代碼等�����,整個代碼像一個復雜的企業數據庫系統����。
加密包含簡單的模糊處理����,例如帶有字節值的 XOR����。在一些其他攻擊中�����,都用到了 XOR 密鑰 (0xAE)�����,這揭示了其與 Duqu 和 Stuxnet 的一些潛在關系��,因為它們也使用這個值���。但 Stuxnet 和 Duqu 會在使用此字節值的同時結合使用其他值��,包括具有可能含義的日期�。
除了上述內容���,Flame在代碼方面并未顯示出與Stuxnet或 Duqu 的直接關系���。它采用了相似但又復雜得多的結構���,這在很多方面都提醒了研究人員�,這些攻擊具有高危性��。根據早期日期值來判斷�,它從某些方面可以視為一個并行項目���。而從文件中遺留的日期值不難發現�����,攻擊文件中融入了 2011 年 1 月和 8 月最新開發的代碼��。文件標頭中的日期經過了蓄意更改(例如�����,聲稱是 1994 年)�����,但導出表日期值和文件其他位置的日期卻暴露了真實日期:2011年���。
Flame病毒與Stuxnet���、Duqu病毒的關聯
通過分析����,可以發現雖然Flame病毒代碼庫與Stuxnet蠕蟲病毒或Duqu木馬病毒不同�����,但三者的攻擊目標和技術非常相似��。Flame與 Duqu 擁有差不多的變體數量���,但其傳播范圍更廣�����,代碼結構更為復雜����。顯然�,這一威脅經過了數年的開發����,幕后很可能是一支訓練有素的大型而專門的團隊�。
Stuxnet于2010年7月被發現�,這種蠕蟲病毒專門針對德國西門子公司設計制造的供水��、發電等基礎設施的計算機控制系統��,伊朗曾承認Stuxnet影響到其核電站的部分離心機����。Stuxnet當年成名的一個重要原因在于其使用了"零日漏洞"攻擊����,即病毒編寫者利用自己發現的4個系統漏洞���,在軟件公司發布補丁之前發起攻擊��。而Flame病毒利用的已知漏洞中就包括Stuxnet曾攻擊的兩個漏洞���。Duqu病毒針對的也是工業控制系統����,目的在于收集信息�。業界普遍認為���,Stuxnet和Duqu來源相同����,因為它們都需要多人長時間合作完成���,極可能是某組織或政府機構所為��。
通過目前邁克菲網絡動態傳感器檢測到的信息��,我們在地圖上繪制了Flame病毒的感染情況:
上圖顯示伊朗是Flame病毒的重災區����。實際上�,在過去至少兩年中���,Flame病毒已經感染了伊朗�、黎巴嫩�、敘利亞�����、蘇丹��、其他中東和北非國家的相應目標計算機系統��。此威脅的攻擊目標僅限于一些個人���、組織和機構��,是極具針對性的威脅�����。
作為安全公司�����,邁克菲將對Flame病毒展開長期分析��,以確定其完整的功能和特性�����。幫助大家更好地了解這一威脅并部署安全防護措施���。
本文出自:億恩科技【www.endtimedelusion.com】
服務器租用/服務器托管中國五強��!虛擬主機域名注冊頂級提供商��!15年品質保障�����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
