本文目录一览:
- 1、什么是火焰病毒?
- 2、‘火焰’病毒是什么?
- 3、怎样应对火焰病毒
什么是火焰病毒?
“火焰”病毒的全名为Worm.Win32.Flame,它是一种后门程序和木马病毒,同时又具有蠕虫病毒的特点。只要其背后的操控者发出指令,它就能在网络、移动设备中进行自我复制。一旦电脑系统被感染,病毒将开始一系列复杂的行动,包括监测网络流量、获取截屏画面、记录音频对话、截获键盘输入等。被感染系统中所有的数据都能通过链接传到病毒指定的服务器,让操控者一目了然。据卡巴斯基实验室统计,迄今发现感染该病毒的案例已有500多起,其中主要发生在伊朗、以色列和巴勒斯坦。苏丹、叙利亚、黎巴嫩、沙特阿拉伯和埃及等国也有个别案例。病毒入侵的起始点目前尚不清楚。
“火焰”设计极为复杂,能够避过100种防毒软件。感染该病毒的电脑将自动分析自己的网络流量规律,自动录音,记录用户密码和键盘敲击规律,将用户浏览网页、通讯通话、账号密码以至键盘输入等纪录及其他重要文件发送给远程操控病毒的服务器。
火焰病毒被认为是迄今为止发现的最大规模的和最为复杂的网络攻击病毒。
起因
2012年5月,俄罗斯安全专家发现一种威力强大的电脑病毒“火焰”(Flame)在中东地区大范围传播。俄罗斯电脑病毒防控机构卡巴斯基称,这种新病毒可能是“某个国家专门开发的网络战武器”。“火焰”病毒最早可能于2010年3月就被攻击者放出,但一直没能被其他网络安全公司发现。“火焰”病毒出现的最早时间甚至可追溯到2007年。
除卡巴斯基外,匈牙利的两家反电脑病毒实验室和伊朗反电脑病毒机构也发现了上述全新的蠕虫病毒。
“火焰”病毒构造复杂,此前从未有病毒能达到其水平,是一种全新的网络间谍装备。该病毒可以通过USB存储器以及网络复制和传播,并能接受来自世界各地多个服务器的指令。感染“火焰”病毒的电脑将自动分析自己的网络流量规律,自动录音,记录用户密码和键盘敲击规律,并将结果和其他重要文件发送给远程操控病毒的服务器。
一旦完成搜集数据任务,这些病毒还可自行毁灭,不留踪迹。
从现有规律看,这种病毒的攻击活动不具规律性,个人电脑、教育机构、各类民间组织和国家机关都曾被其光顾过。
电子邮件、文件、消息、内部讨论等等都是其搜集的对象。
卡巴斯基实验室公布统计数字,确认新型电脑病毒“火焰”入侵中东地区。
遭受该毒感染的国家包括伊朗(189个目标遭袭),以色列和巴勒斯坦(98个目标遭袭),苏丹 (32个目标遭袭),叙利亚 (30 个目标遭袭),黎巴嫩 (18 个目标遭袭),沙特阿拉伯(10个目标遭袭)和埃及 (5个目标遭袭)。
由于破解病毒需要一定时间,截至2012年5月28日,还未查出源头。
杀毒软件厂商卡巴斯基指出,有证据显示,开发“火焰”病毒的国家可能与开发2010年攻击伊朗核项目的蠕虫病毒的国家相同。但是,他们尚未确定该病毒是否像攻击伊朗核项目的蠕虫病毒那样拥有特殊任务,并拒绝说出他们认为是谁开发了该病毒。2010年,伊朗离心机遭受计算机蠕虫入侵,使伊朗核计划遭受挫折。伊朗曾指责美国和以色列释放了这些蠕虫病毒。
伊朗外交部发言人指责是以色列制造“火焰”病毒,又说这些网络攻击手段,不会成功。
首先,在恶意程序中使用Lua就是非同寻常的,特别是在这么大的一个攻击工具中。一般来说,现代恶意程序大小都偏小,并用紧凑的编程语言进行编写,这样的话能很好的将其隐藏。因此,通过大量的代码实现隐藏是Flame的新特点之一。
其次,记录来自内部话筒音频数据也是相当新的手段。当然,其它一些已知的恶意程序也能够记录音频数据,但是Flame的关键不同是它很全面——能够以各种各样的手段盗取数据。
最后,Flame另外一个令人称奇的特点就是对蓝牙设备的使用。当设备的蓝牙功能开启的时候,Flame可以将配置模块中的相关选项同时开启,当发现有设备靠近被感染的计算机时,就可以收集设备中的信息。有赖于这样的配置,它还能以受感染的计算机做为一个“灯塔”,发现通过蓝牙传输的设备,并为背后的操控者提供有关编入到设备信息中的恶意程序状态。
与曾经攻击伊朗核项目计算机系统的“震网病毒”相比,“火焰”病毒不仅更为智能,且其攻击目标和代码组成也有较大区别。“火焰”病毒的攻击机制更为复杂,且攻击目标具有特定地域的地点。
“火焰”病毒最早可能于2010年3月就被攻击者放出,但一直没能被其他网络安全公司发现。“火焰”病毒出现的最早时间甚至可追溯到2007年。“震网”和“毒区”两款病毒的创建时间也大概为2007年前后。
“火焰”病毒部分特征与先前发现的“震网”和“毒区”两款病毒类似,显示三种病毒可能“同宗”。网络分析专家认为,已形成“网络战”攻击群。“震网”病毒攻击的是伊朗核设施,“毒区”病毒攻击的是伊朗工业控制系统数据,而“火焰”病毒攻击的则是伊朗石油部门的商业情报。
‘火焰’病毒是什么?
简介
“火焰”病毒的全名为Worm.Win32.Flame,它是一种后门程序和木马病毒,同时又具有蠕虫病毒的特点。只要其背后的操控者发出指令,它就能在网络、移动设备中进行自我复制。一旦电脑系统被感染,病毒将开始一系列复杂的行动,包括监测网络流量、获取截屏画面、记录音频对话、截获键盘输入等。被感染系统中所有的数据都能通过链接传到病毒指定的服务器,让操控者一目了然。据卡巴斯基实验室统计,迄今发现感染该病毒的案例已有500多起,其中主要发生在伊朗、以色列和巴勒斯坦。苏丹、叙利亚、黎巴嫩、沙特阿拉伯和埃及等国也有个别案例。病毒入侵的起始点目前尚不清楚。
“火焰”设计极为复杂,能够避过100种防毒软件。感染该病毒的电脑将自动分析自己的网络流量规律,自动录音,记录用户密码和键盘敲击规律,将用户浏览网页、通讯通话、账号密码以至键盘输入等纪录及其他重要文件发送给远程操控病毒的服务器。
火焰病毒被认为是迄今为止发现的最大规模的和最为复杂的网络攻击病毒。
起因
2012年5月,俄罗斯安全专家发现一种威力强大的电脑病毒“火焰”(Flame)在中东地区大范围传播。俄罗斯电脑病毒防控机构卡巴斯基称,这种新病毒可能是“某个国家专门开发的网络战武器”。“火焰”病毒最早可能于2010年3月就被攻击者放出,但一直没能被其他网络安全公司发现。“火焰”病毒出现的最早时间甚至可追溯到2007年。
除卡巴斯基外,匈牙利的两家反电脑病毒实验室和伊朗反电脑病毒机构也发现了上述全新的蠕虫病毒。
编辑本段
特点
“火焰”病毒构造复杂,此前从未有病毒能达到其水平,是一种全新的网络间谍装备。该病毒可以通过USB存储器以及网络复制和传播,并能接受来自世界各地多个服务器的指令。感染“火焰”病毒的电脑将自动分析自己的网络流量规律,自动录音,记录用户密码和键盘敲击规律,并将结果和其他重要文件发送给远程操控病毒的服务器。
一旦完成搜集数据任务,这些病毒还可自行毁灭,不留踪迹。
从现有规律看,这种病毒的攻击活动不具规律性,个人电脑、教育机构、各类民间组织和国家机关都曾被其光顾过。
电子邮件、文件、消息、内部讨论等等都是其搜集的对象。
编辑本段
攻击范围
卡巴斯基实验室公布统计数字,确认新型电脑病毒“火焰”入侵中东地区。
遭受该毒感染的国家包括伊朗(189个目标遭袭),以色列和巴勒斯坦(98个目标遭袭),苏丹 (32个目标遭袭),叙利亚 (30 个目标遭袭),黎巴嫩 (18 个目标遭袭),沙特阿拉伯(10个目标遭袭)和埃及 (5个目标遭袭),中国(1个目标遭袭)。
编辑本段
开发者
由于破解病毒需要一定时间,截至2012年5月28日,还未查出源头。
杀毒软件厂商卡巴斯基指出,有证据显示,开发“火焰”病毒的国家可能与开发2010年攻击伊朗核项目的蠕虫病毒的国家相同。但是,他们尚未确定该病毒是否像攻击伊朗核项目的蠕虫病毒那样拥有特殊任务,并拒绝说出他们认为是谁开发了该病毒。2010年,伊朗离心机遭受计算机蠕虫入侵,使伊朗核计划遭受挫折。伊朗曾指责美国和以色列释放了这些蠕虫病毒。
伊朗外交部发言人指责是以色列制造“火焰”病毒,又说这些网络攻击手段,不会成功。
编辑本段
“火焰”的新特点
首先,在恶意程序中使用Lua就是非同寻常的,特别是在这么大的一个攻击工具中。一般来说,现代恶意程序大小都偏小,并用紧凑的编程语言进行编写,这样的话能很好的将其隐藏。因此,通过大量的代码实现隐藏是Flame的新特点之一。
其次,记录来自内部话筒音频数据也是相当新的手段。当然,其它一些已知的恶意程序也能够记录音频数据,但是Flame的关键不同是它很全面——能够以各种各样的手段盗取数据。
最后,Flame另外一个令人称奇的特点就是对蓝牙设备的使用。当设备的蓝牙功能开启的时候,Flame可以将配置模块中的相关选项同时开启,当发现有设备靠近被感染的计算机时,就可以收集设备中的信息。有赖于这样的配置,它还能以受感染的计算机做为一个“灯塔”,发现通过蓝牙传输的设备,并为背后的操控者提供有关编入到设备信息中的恶意程序状态。
编辑本段
关联病毒
与曾经攻击伊朗核项目计算机系统的“震网病毒”相比,“火焰”病毒不仅更为智能,且其攻击目标和代码组成也有较大区别。“火焰”病毒的攻击机制更为复杂,且攻击目标具有特定地域的地点。
“火焰”病毒最早可能于2010年3月就被攻击者放出,但一直没能被其他网络安全公司发现。“火焰”病毒出现的最早时间甚至可追溯到2007年。“震网”和“毒区”两款病毒的创建时间也大概为2007年前后。
“火焰”病毒部分特征与先前发现的“震网”和“毒区”两款病毒类似,显示三种病毒可能“同宗”。网络分析专家认为,已形成“网络战”攻击群。“震网”病毒攻击的是伊朗核设施,“毒区”病毒攻击的是伊朗工业控制系统数据,而“火焰”病毒攻击的则是伊朗石油部门的商业情报。
怎样应对火焰病毒
最近有一种电脑病毒,可以跟踪用户活动、盗取信用卡,还能通过电脑的麦克风录音、撷取电脑画面、记录键盘操作行为、侦测网路流量,与周边蓝牙设备进行通讯等等,几乎无所不能!”办公室里面的电脑专家小吉又在和大伙分享最新的电脑资讯了,而他的“新介绍”让整个办公室的同事感到胆战心惊。真的有这么牛的病毒吗?
小吉口中所说的这款“几乎无所不能”病毒,正是最近被称为史上最强的病毒——“火焰”(Flame)。当你打开一个看似完美的网页和文件时,当你拿着自己的USB复制粘贴材料时,当你开启蓝牙设备传输文件时……“火焰”很可能已经悄然入侵你的电脑。
“火焰”已潜伏5年
“火焰”病毒出现的最早时间甚至可追溯到2007年。它异常复杂,威胁程度异常高,既是一种后门程序、又是一种木马,但却又具有蠕虫的特点,透过受害者电脑的麦克风录音、撷取电脑画面、记录键盘操作行为、侦测网路流量,与周边蓝牙设备进行通讯等。目前,火焰主要在伊朗、以色列和巴勒斯坦等中东国家传播,澳门、香港等地也已经发现,反病毒专家称“火焰”完全可能在全球范围传播。
“火焰”与臭名昭著的病毒Stuxnet、Duqu类似。不过,Stuxnet与Duqu这两个病毒大小约为500KB,但整个火焰的大小却可以超过20MB!能够以庞大的“身躯”隐藏5年而不被发现,“火焰”病毒不可小觑。国外媒体报道称,想要彻底破解“火焰”,可能需要至少10年的时间。
两种方法查“火焰”
即使是更新到最新的Windows 7电脑,也难逃此病毒的感染。因此,大家千万不要“掉以轻心”。目前,大家可以通过简单的检验方法来判断电脑是否感染“火焰”。
1.点击开始——搜索——选择文件或者文件夹,查找文件“~DEB93D.tmp”,如果系统中存在这样的文件,那就意味着已被“火焰”病毒感染。
2.如果上述方法你还不能确定,可以通过点击开始——搜索——选择文件或者文件夹,查找文件“regedit”,点击打开注册表,检测注册表键HKLM_SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages.如果你找到了mssecmgr.ocx或者authpack.ocx文件,那么你的设备已经被Flame感染。
专家支招“从容应对”
了解到,目前防范“火焰”最可靠的方法就是安装专业的防毒软件,并升级到最新版本,同时,开启实时监控功能。国内外大型杀毒软件公司都已发布相关预防措施:
安全专家称,“火焰”病毒之所以最近才被安全行业发现,主要因为该病毒利用微软数字签名欺骗漏洞,伪装为微软签名的文件。目前,微软已针对该漏洞发布补丁,360安全卫士也在第一时间为全体用户推送补丁,可以保护中国网民电脑有效“灭火”。
网络反病毒工程师指出,“火焰”病毒的确足够复杂,构成“火焰”病毒的主文件有7个,各文件各司其职,共同完成系统入侵和情报收集,堪称“有病毒特性”的计算机网络情报收集系统。
此外,专家提醒,该病毒内部代码所含字符大多为“flame”。因此,大家近期若看到以“flame”结尾的文件,千万要提高警惕,不可轻易打开