迈克菲实验室：Flame病毒的深度分析(3)

威胁文件可以根据控制服务器特定的指令和配置使用情况更改文件名和扩展名。一些情况下，Flame可以检测到特定的防病毒软件，于是就会更改可执行文件 (DLL) 的扩展名，比如从 OCX 更改为 TMP。实际上，通常在受感染的系统上，尤其是威胁先于安全产品安装的情况下，就不需要进行这样的更改。

Flame病毒的主模块超过6MB，而完全部署后接近20MB。毫无疑问，这是一款包含大量代码的恶意软件，它使用了Zlib、LUA Interpreter、SQLite 支持、Custom DB 支持代码等，整个代码像一个复杂的企业数据库系统。

加密包含简单的模糊处理，例如带有字节值的 XOR。在一些其他攻击中，都用到了 XOR 密钥 (0xAE)，这揭示了其与 Duqu 和 Stuxnet 的一些潜在关系，因为它们也使用这个值。但 Stuxnet 和 Duqu 会在使用此字节值的同时结合使用其他值，包括具有可能含义的日期。

除了上述内容，Flame在代码方面并未显示出与Stuxnet或 Duqu 的直接关系。它采用了相似但又复杂得多的结构，这在很多方面都提醒了研究人员，这些攻击具有高危性。根据早期日期值来判断，它从某些方面可以视为一个并行项目。而从文件中遗留的日期值不难发现，攻击文件中融入了 2011 年 1 月和 8 月最新开发的代码。文件标头中的日期经过了蓄意更改（例如，声称是 1994 年），但导出表日期值和文件其他位置的日期却暴露了真实日期：2011年。

Flame病毒与Stuxnet、Duqu病毒的关联

通过分析，可以发现虽然Flame病毒代码库与Stuxnet蠕虫病毒或Duqu木马病毒不同，但三者的攻击目标和技术非常相似。Flame与 Duqu 拥有差不多的变体数量，但其传播范围更广，代码结构更为复杂。显然，这一威胁经过了数年的开发，幕后很可能是一支训练有素的大型而专门的团队。

Stuxnet于2010年7月被发现，这种蠕虫病毒专门针对德国西门子公司设计制造的供水、发电等基础设施的计算机控制系统，伊朗曾承认Stuxnet影响到其核电站的部分离心机。Stuxnet当年成名的一个重要原因在于其使用了"零日漏洞"攻击，即病毒编写者利用自己发现的4个系统漏洞，在软件公司发布补丁之前发起攻击。而Flame病毒利用的已知漏洞中就包括Stuxnet曾攻击的两个漏洞。Duqu病毒针对的也是工业控制系统，目的在于收集信息。业界普遍认为，Stuxnet和Duqu来源相同，因为它们都需要多人长时间合作完成，极可能是某组织或政府机构所为。

通过目前迈克菲网络动态传感器检测到的信息，我们在地图上绘制了Flame病毒的感染情况：

上图显示伊朗是Flame病毒的重灾区。实际上，在过去至少两年中，Flame病毒已经感染了伊朗、黎巴嫩、叙利亚、苏丹、其他中东和北非国家的相应目标计算机系统。此威胁的攻击目标仅限于一些个人、组织和机构，是极具针对性的威胁。

作为安全公司，迈克菲将对Flame病毒展开长期分析，以确定其完整的功能和特性。帮助大家更好地了解这一威胁并部署安全防护措施。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]