火焰 (恶意软件)

火焰病毒(Flame,又名Flamer,sKyWIper,Skywiper)是一种2012年5月被发现的恶意软件,也译作“超级火焰”,以LuaC++语言写成,利用微软公司Windows作业系统的两处瑕疵侵入电脑并注入其他程序。大约从2010年开始散播,其所包含的代码量约是之前发现的震网病毒(Stuxnet)或毒区病毒(Duqu)的20倍,被称为有史以来最复杂的恶意软件,在中东大范围传播。[1]

火焰病毒在伊朗、以色列、苏丹 的影响占比饼状图,波斯语图片

火焰病毒伪装成微软开发的合法程式,侵入个人电脑、窃取私密资料。主要功能在收集个人资讯,并上传到网路,以数种方式进行活动,包括录音撷取萤幕画面、侵入邻近的蓝牙装置等。大小约为20MB,包含数个模组,包括解压缩程式库、SQL资料库、和Lua虚拟器等。[2]因为它在收到指令的情况下,会自我删除,而且其注入其他程序后,会将自己所在内存区段设置为用户态不可读、用户态不可写、用户态不可执行,所以很难被用户态下的其它程序侦测出来。[3]

伊朗方面于2012年4月时,称该病毒被其创造者命名为Wiper[4] 。而卡巴斯基则说它和Wiper没有什么关系[5]。尽管以色列副部长摩西的某段讲话似乎暗示了以色列是始作俑者,但目前以色列在受害数量上仅次于伊朗的189起,为89起[6][7]

报导声称该恶意软体美国国家安全局以色列合作研发[8][9]。类似震网病毒,可能都在Olympic Games计划下开发出来[10]。印度时报报道,目前有80家来自亚洲、欧洲和北美的服务器在操作这种病毒。美国和以色列都正式否认与此病毒有关。[11] [12]

微软推出KB2718704更新程序来防范该病毒。[13][14]

值得注意的是,该恶意软件中包含了一个伪造的数字签名。被伪造签名的主体是Microsoft Enforced Licensing Intermediate PCA数字证书认证机构[15]。由于微软在终端服务授权服务证书中,错误地启用了代码签名功能,并且尽管早在2008年便有人成功地伪造了使用MD5作为签名算法的数字证书[16],这一证书却依旧在使用MD5作为签名算法。这使得伪造该证书变得比较容易。此恶意软件的开发者成功地通过选定前缀攻击法伪造了这一证书,并用于签名该恶意软件,使得它看起来像是来自微软。[17]

注释

  1. ^ 最复杂电脑病毒“火焰”曝光已入侵中东多国. 中国广播网. 2012-05-30 [2012-05-30]. (原始内容存档于2016-03-06). 
  2. ^ 谨防超级火焰病毒Flame和“暴雷”漏洞威胁. 浙江省公安厅. 2012-07-02 [2012-07-02]. [永久失效链接]
  3. ^ sKyWIper: A Complex Malware for Targeted Attacks (PDF). Budapest University of Technology and Economics. 28 May 2012 [29 May 2012]. (原始内容 (PDF)存档于2012年5月30日). 
  4. ^ 存档副本. [2012-05-31]. (原始内容存档于2012-05-30). 
  5. ^ Meet ‘Flame,’ The Massive Spy Malware Infiltrating Iranian Computers. [2012-05-31]. (原始内容存档于2014-03-26). 
  6. ^ Flame: Massive cyber-attack discovered, researchers say. [2012-05-31]. (原始内容存档于2019-04-09). 
  7. ^ 全新电脑病毒“火焰”攻击伊朗能源设施. [2012-05-31]. (原始内容存档于2016-08-18). 
  8. ^ U.S., Israel developed Flame computer virus to slow Iranian nuclear efforts, officials say. 华盛顿邮报. 2012-06-20 [2012-06-30]. (原始内容存档于2021-04-15). 
  9. ^ 華盛頓郵報:美以研發Flame病毒攻擊伊朗. 新浪香港. 2012-06-20 [2012-06-30]. (原始内容存档于2014-03-09). 
  10. ^ 病毒「火焰」美以網路戰祕密武器. 中国时报. 2012-06-21 [2012-06-21]. (原始内容存档于2012-07-04). 
  11. ^ Tsukayama, Hayley. Flame cyberweapon written using gamer code, report says. The Washington Post. 31 May 2012 [31 May 2012]. (原始内容存档于2020-06-01). 
  12. ^ Flame: Israel rejects link to malware cyber-attack. BBC News. 31 May 2012 [3 June 2012]. (原始内容存档于2021-01-26). 
  13. ^ 未经授权的数字证书可能允许欺骗. [2014-03-18]. (原始内容存档于2014-12-19). 
  14. ^ Microsoft Security Advisory (2718704):Unauthorized Digital Certificates Could Allow Spoofing. [2014-03-18]. (原始内容存档于2014-03-30). 
  15. ^ Microsoft releases Security Advisory 2718704. Microsoft. 3 June 2012 [4 June 2012]. (原始内容存档于2012-06-07). 
  16. ^ Sotirov, Alexander; Stevens, Marc; Appelbaum, Jacob; Lenstra, Arjen; Molnar, David; Osvik, Dag Arne; de Weger, Benne. MD5 Considered Harmful Today. 30 December 2008 [4 June 2011]. (原始内容存档于2017-09-20). 
  17. ^ Stevens, Marc. CWI Cryptanalist Discovers New Cryptographic Attack Variant in Flame Spy Malware. Centrum Wiskunde & Informatica. 7 June 2012 [9 June 2012]. (原始内容存档于2017-02-28). 

相关条目