超級火焰是一種電腦病毒,該病毒由卡巴斯基首先發現,並根據該病毒內部代碼所含字樣,而將其命名為“Flame”。
基本介紹
- 中文名:超級火焰
- 外文名:Flame
- 類別:電腦病毒
- 首先發現者:卡巴斯基
感染地區,間諜軟體,特點,
感染地區
台北時間5月29日訊息,據國外媒體報導,俄羅斯反病毒公司卡巴斯基實驗室(以下簡稱“卡巴斯基”)表示,一種名為“Flame”的惡意間諜軟體已在中東和北非部分地得以大範圍傳播,該病毒已經或即將造成的巨大危害不可忽視。
和項目計算機系統的Stuxnet病毒的相比,Flame病毒不僅更為智慧型,且其攻擊目標和代碼組成也有較大區別。卡巴斯基認為,Stuxnet和Flame病毒應該不是同一個(或一群)程式設計師所為。Flame病毒的攻擊機制更為複雜,且攻擊目標具有特定地域的地點,這或許表明,Flame病毒的幕後團隊很可能由政府機構操縱。
一些網路安全專家認為,Flame可能也是系列病毒攻擊的組成部分,即主持散布Stuxnet和DuQu病毒的幕後團隊,同時也聘請其他程式設計師開發了Flame病毒。
Flame病毒內部主要模組
Flame病毒內部主要模組卡巴斯基聯合創始人兼CEO尤金·卡巴斯基(Eugene Kaspersky)在一份聲明中表示:“Stuxnet和DuQu病毒屬於一系列攻擊的組成部分,並引起了全球安全人士的警惕。Flame病毒的發現,意味著網際網路安全大戰進入到新階段。我們必須明白,諸如Flame等病毒,能夠被輕鬆用來攻擊任何國家。”
間諜軟體
卡巴斯基對Flame病毒的初步分析發現,攻擊者散布Flame病毒的主要用意是:對被感染機器的用戶活動加以跟蹤並盜取相關信息,其中包括文檔、談話錄音和用戶敲擊計算機鍵盤情況等信息。此外,該病毒還會在被感染機器上開啟後門,以方便攻擊者對已安裝到被感染機器當中的工具包加以修訂,同時為該工具包增加新功能。
卡巴斯基認為,Flame是迄今為止所發現攻擊機制最為複雜、威脅程度最高的計算機病毒之一。卡巴斯基首席安全專家亞歷山大·戈斯捷夫(Alexander Gostev)表示:“Flame病毒的編寫和攻擊機制都非常複雜。”
戈斯捷夫認為,Flame病毒最早可能於2010年3月就被攻擊者放出,但一直沒能被其他安全公司發現,“Flame包含了大量代碼。而過去兩年中一直沒有被安全公司檢測到,這種現象相當令人感到奇怪。”戈斯捷夫還表示,一些線索暗示,Flame出現的最早時間甚至可追溯到2007年。外界認為,Stuxnet和DuQu兩款病毒的創建時間也大概為2007年前後。
特點
異常複雜
戈斯捷夫表示,由於Flame病毒體積較大,且編寫方式非常複雜,因此可能需花上數年時間,才能完全了解該病毒的全部情況,“我們分析Stuxnet病毒花了半年時間。而Flame病毒的複雜程度比Stuxnet高出20倍。要全面了解Flame病毒,我們可能得花上10年時間。”
伊朗計算機緊急情況反應小組周一表示,此前已開發出可檢測“Flamer”病毒的工具,這款工具已於5月初發送給特定機構使用,該反應小組同時還開發出可刪除“Flamer”病毒的工具。卡巴斯基認為,伊朗所說的“Flamer”病毒,與卡巴斯基所說的Flame病毒是一回事。
病毒研究者對這種病毒也進行了分析並發現,雖然從傳播區域和目標看,這種病毒與震網病毒和Duqu病毒很相似,但從很多方面看,這種病毒比後兩者更為複雜。
這種被稱為Flame的病毒是由許多獨立模組組成的非常大的攻擊工具包。它能執行各種惡意行為,其中大部分與數據竊取和網路間諜有關。
相關信息
除此之外,它還能使用計算機擴音器來錄下對話,提取應用程式細節的截屏,探測網路流量,並能與附近的藍牙設備進行交流。
病毒研究專家Vitaly Kamluk表示,該工具包的第一個版本好像在2010年就開始出現,此後在模組化架構的槓桿作用下進一步擴展。
Flame比Duqu和震網病毒都大很多。Kamluk說,所有Flame組件加起來能達到20MB,單個檔案也有6MB那么大。
另一個有意思的方面是,Flame有些部分是用LUA寫的,這是一種在惡意軟體中非常不常見的程式語言,LUA經常用在計算機遊戲行業中,但在Flame之前,並未見過任何用這種語言寫的惡意軟體。
