卡巴斯基:揭开“火焰”病毒(Flame)的神秘面纱

2012年5月27,“火焰”病毒(Flame)被发现。这款恶意软件是一种复杂的网络间谍工具,主要***目标为中东地区的Windows计算机 几个小时后,已经运行多年的Flame命令与控制基础设施被关闭。但事情并没有结束,“火焰”病毒带来危害与影响已溢出了中东,扩散至欧洲、亚洲,甚至是全球。

在后的一周时间内,卡巴斯基实验室一直在密切监控“火焰”(Flame的命令与控制基础设施。成功破解了Flame命令控制中心所采用的大多数恶意域名,获取到大量一手情报,也逐步揭开了“火焰”的神秘面纱。

卡巴斯基安全网络(KSN)的统计数据,较为准确地反映Flame恶意软件真实的感染和传播分布情况。数据显示,虽然“火焰”***的目标主要集中在中东地区,但由于部分受害用户可能使用了×××/代理服务,所以“火焰”病毒的传播已经蔓延到全球其它地区。

大多数被“火焰”感染的计算机运行的操作系统是Windows 7 32位其次是Windows XP。卡巴斯基实验室的反病毒专家指出,“火焰”恶意程序中的模块“Gadget”(小伎俩)和模块“Munch”(咀嚼)能够对网络中其它计算机发起是一种 “中间人”***。 当计算机试图连接微软Windows更新时,它们将链接进行重定向,并向客户端发送一个假冒的恶意Windows更新链接,从而使计算机受到感染。

目前卡巴斯基实验室已发现约80个域名属于“火焰”病毒的指令与控制基础设施。其指令与控制服务器所使用的域名均是使用虚假的身份注册,并且通过多个注册商注册。最早的注册时间可以追溯到2008年。另外,“火焰”病毒的操纵者似乎对PDF文档、Office文档和AutoCad绘图文件情有独钟。

面对“火焰”这个史上最复杂、危害最大的病毒程序,卡巴斯基实验室的安全专家建议广大网友,应及时下载安装Windows更新程序,修复系统漏洞,避免病毒通过漏洞实施***。同时安装卡巴斯基安全部队2012,彻底检测和查杀“火焰”病毒。为帮助更多用户抵御“火焰”侵袭,卡巴斯基安全部队2012已推出13用户版本,仅需119元,相当于一份杀毒软件的费用,三台电脑同享安全。