Flame新威胁被确认,比Stuxnet和Duqu更复杂

近日，一种新的、高度复杂的恶意软件威胁被几家安全公司和组织的研究人员所确认，这种恶意软件主要用于以中东为目标的网络间谍攻击中。

伊朗计算机应急响应组织将这种新的恶意软件称为Flamer,并认为这是最近伊朗数据泄露事件的元凶。该组织周一表示，有理由相信，这种恶意软件与震网病毒和Duqu病毒威胁相关联。

卡巴斯基实验室的病毒研究者对这种病毒也进行了分析并发现，虽然从传播区域和目标看，这种病毒与震网病毒和Duqu病毒很相似，但从很多方面看，这种病毒比后两者更为复杂。

这种被称为Flame的病毒是由许多独立模块组成的非常大的攻击工具包。它能执行各种恶意行为，其中大部分与数据窃取和网络间谍有关。

Related Content

除此之外，它还能使用计算机扩音器来录下对话，提取应用程序细节的截屏，探测网络流量，并能与附近的蓝牙设备进行交流。

卡巴斯基实验室首席病毒研究专家Vitaly Kamluk表示，该工具包的第一个版本好像在2010年就开始出现，此后在模块化架构的杠杆作用下进一步扩展。

Flame比Duqu和震网病毒都大很多。Kamluk说，所有Flame组件加起来能达到20MB，单个文件也有6MB那么大。

另一个有意思的方面是，Flame有些部分是用LUA写的，这是一种在恶意软件中非常不常见的程序语言，LUA经常用在计算机游戏行业中，但在Flame之前，卡巴斯基实验室并未见过任何用这种语言写的恶意软件。

卡巴斯基的研究者们并未发现被这种恶意软件开发的未知0-day漏洞，但已知的是，Flame已经感染了一台完全打好补丁的Windows 7电脑，因此，不能完全排除这种可能性。

当感染被反病毒程序保护的计算机时，Flame会停止进行某种行动或执行恶意代码，因为这可能引起安全应用程序进行主动检测。Kamluk表示，这是该病毒得以潜藏如此之久的一个原因。

与Duqu和震网病毒一样，Flame的制造者也不为人所知。然而，这种恶意软件的复杂性和所需资源的数量让安全专家们都认为，这是由一个民族国家创建或发起的。

Related Content

卡巴斯基的研究者并未发现该病毒与某个特定国家或地区相关联。不过，其中有些代码是用英文所写。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友