邁克菲實驗室：Flame病毒的深度分析(1)

面對這一高危病毒，邁克菲實驗室第一時間對該病毒的相關功能和主要特性進行了深度分析和持續(xù)研究，以助力業(yè)界更好地了解這一威脅并找出應對措施。

根據(jù)邁克菲實驗室的分析，F(xiàn)lame病毒是一種模塊化的、可擴展和可更新的，具有廣泛隱蔽性和很強攻擊性的威脅。目前，邁克菲防病毒產(chǎn)品已經(jīng)可以從感染的系統(tǒng)中檢測到這一威脅并進行清除。通過邁克菲的初期數(shù)據(jù)顯示，目前這一威脅還存在多種變體。

Flame病毒強大的攻擊能力

以下是邁克菲發(fā)現(xiàn)的Flame病毒的部分攻擊能力（實際上，F(xiàn)lame病毒的攻擊能力還遠不止于此）：

◆掃描網(wǎng)絡資源

◆竊取指定信息

◆能夠偵測到100多種安全防護產(chǎn)品（包括反病毒軟件、反間諜軟件和防火墻等）

◆進行屏幕截圖

◆記錄語音通話

◆利用 PE 加密資源

◆像 Stuxnet 和 Duqu 一樣把自己隱藏為名為 ~ 的臨時文件

◆使用已知漏洞，如被Stuxnet利用的Print Spooler 和 lnk漏洞

◆通過 USB 閃存和局域網(wǎng)攻擊新系統(tǒng)（緩慢傳播）

◆使用 SQLite 數(shù)據(jù)庫存儲收集到的信息

◆使用自定義數(shù)據(jù)庫來構建攻擊模塊（這很罕見，但顯示了這一惡意軟件的模塊化構造和可擴展性）

◆運行于Windows XP、Windows Vista 和 Windows 7 系統(tǒng)

◆隨 Winlogon.exe 一起加載并注入IE和服務項中

◆復雜的內(nèi)部功能能夠調(diào)用Windows APC、操控線程啟動并對關鍵進程進行代碼注入

◆往往位于臨近的系統(tǒng)上并通過局域網(wǎng)進行總控和發(fā)起目標注入攻擊

◆通過 SSH 和 HTTPS 協(xié)議與總控服務器通信

◆同時使用內(nèi)核模式和用戶模式邏輯

總體而言，F(xiàn)lame病毒在一些工作原理上與 Stuxnet 和 Duqu 十分類似，但代碼庫和具體實施上則差別很大，因為Flame病毒更加復雜，攻擊能力更強。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]