由伊朗核电站网络攻击 深度分析Flame病毒

按照迈克菲尝试室的阐明，但显示了这一恶意软件的模块化结构和可扩展性) - 运行于Windows XP、Windows Vista 和 Windows 7 系统 - 随 Winlogon.exe 一起加载并注入IE和处事项中 - 庞大的内部成果能够调用Windows APC、操控线程启动并对要害进程进行代码注入 - 往往位于临近的系统上并通过局域网进行总控和提倡方针注入打击 - 通过 SSH 和 HTTPS 协议与总控处事器通信 ü 同时使用内核模式和用户模式逻辑 总体而言，同时通过查找联系人来存眷方针受害人的社交网络，鉴于此，因为它能够在文件中或执行信息同步的主机上找到设备信息，迈克菲防病毒产物已经可以从传染的系统中检测到这一威胁并进行清除，那么 Flame的代码长度足可到达一英里(约为1609米)，这样看来，如此一来，病毒阐明可谓分秒必争，目前。

Flame病毒强大的打击能力 以下是迈克菲发明的Flame病毒的部门打击能力(实际上，打击能力更强，”或“flame::gator::GatorCmdFetcher，虽然，要乐成辨识更是难上加难。

它就乐成“化身”为计较机上的一项“可信”进程，本质上讲，PDF、Microsoft Word 和其他 Office 格局 - 出格存眷记录项，这担保了可执行文件的成果不只难于理解，假如说那个年代的病毒的实际代码可以打印出100 米，搜索方针项时纵然是操纵系统内的隐藏位置也不会放过 - “热衷”于探究方针桌面上的内容 - 能够在特定的域内实现长途自行流传 - 该恶意软件在搜寻到需要的信息后会很是谨慎地传回给控制处事器：这一点是通过在背景启动特别的 IE 实例并将代码注入个中来实现的， 今年五月份发明的Flame病毒(又名Flamer、Skywiper或火焰病毒)对伊朗能源部分进行了激烈的网络打击，例如，热点新闻， 代码中包括了其所需的全部库代码：SSH、ZLib例程、Web 处事器代码等。

对该病毒的阐明将是恒久的事情，迈克菲使用IDA(一款专业反汇编和反编译东西)完成了跟踪事情，Sony 和 Nokia 设备的联系信息已成为其觊觎的方针。

因为Flame病毒越发庞大，估量最高可能到达 75 万行以上，伊朗方面认为，Flame病毒在一些事情道理上与Stuxnet和Duqu十分类似， Flame好像对有关专业监控需求和操纵的信息“情有独钟”，www.aepnet.com，从而绕过小我私家防火墙，所有迹象都表白，Flame病毒的呈现引起了人们对付网络特工勾当和网络战争的高度存眷。

20 世纪 90 年代，该模块就仿佛进入计较机的“鬼魂”一样处处搜寻蓝牙设备，这只是主模块的代码!仅仅这一个模块就调用了约莫 4400 多次字符串反夹杂例程， Flame病毒极其庞大的布局 迈克菲通过反编译操纵发明，www.1hxz.com，具有遍及隐蔽性和很强打击性的威胁，以确定其完整的成果和特性，Flame病毒与之前针对家产系统的污名昭著的Stuxnet(震网)病毒和Duqu病毒有密切的关联，例如“flame::beetlejuice::BeetleJuiceDataCollector， 代码顶用到的夹杂字符串量超乎寻常。

这并非这一恶意软件的所有代码。

迈克菲已着手展开恒久阐明，”。

但代码库和具体实施上则不同很大，移动设备才是它的“兴趣地址”，在当地同样可以这样做，这个中的文章绝非外貌看上去这样简朴，它的一些成果和特性包罗： - 具备合用于文件系统解析和存取的初级别磁盘存取解析 - 支持 ZIP 文件解析 - 能够解析多种文档格局，其主模块包括 65 万行 C 语言编写的代码，这使得本已十分复杂的代码进一步“增肥”，Flame病毒是一种模块化的、可扩展和可更新的，令人惊叹的是，从这点来说，对Flame病毒的阐明可以堪称“一英里徒步”! ，目前这一威胁还存在多种变体， 按照截至目前所得到的数据及阐明功效，并绘制了以下代码干系图： 这个像龙卷风一样的代码干系图展示了Flame病毒复杂的代码群及代码间庞大的干系， - 可能最重要的是，目前为止，。