科技风云
構造複雜前所未有:電腦病毒“火焰”入侵中東多國
发表于 2012-06-11 16:13 【本報綜合報導】5月28日,俄羅斯電腦病毒防控機構卡巴斯基實驗室發佈報告,確認新型電腦病毒“火焰”入侵伊朗等多個中東國家。病毒用於竊取資訊,部分特徵與先前攻擊伊朗核設施電腦系統的Stuxnet蠕蟲病毒相似,但結構更複雜、損害更大。技術人員以“網路攻擊武器”定性“火焰”,推測這一病毒可能有政府背景。專家稱這種病毒很可能是已發現的最複雜惡意程式之一。
来源:本報綜合報導
目前,研究人員還不清楚這種蠕蟲病毒(Worm.Win32.Flame)最早是如何進入電腦系統的。不過,卡巴斯基實驗室最早在一些聯合國下屬機構(International Telecommunication Union)電腦中發現了該病毒的蹤跡。當時,該組織發現,來自中東地區的敏感檔莫名奇妙丟失。
俄羅斯IT安全公司卡巴斯基實驗室發言人維塔利·庫柳克認為,近來在中東部分國家傳播的“火焰”電腦病毒是迄今結構最複雜的網路侵入工具,它能以多種方式竊取資訊。
這種新型病毒最重要的應用是它的間諜功能。感染該病毒的電腦將自動分析使用者的上網規律,記錄用戶密碼,自動截屏並保存一些檔和通訊資訊,甚至可以暗中打開麥克風進行秘密錄音等,然後再將竊取到的這些資料發送給遠程操控該病毒的伺服器。
庫柳克表示,“火焰”病毒可謂目前結構最複雜的電腦病毒,具有一些獨特之處。普通電腦病毒往往採用精煉的編程語言,以達到瘦身隱藏目的。而“火焰”病毒是一個龐大的程式包,包含20多個模組,其大小約為20MB。這種病毒不會中斷終端系統,其目的只是收集情報。除了具備普通電腦病毒的數據竊取手段之外,“火焰”病毒還能記錄來自電腦內置話筒的音頻數據,並啟動被感染電腦的藍牙設備,使它成為攻擊周邊藍牙設備的“燈塔”。
“火焰”之所以擁有如此強大的間諜功能,是因為它的程式構造十分複雜,“火焰”所包含的代碼數量相當於之前發現的“震網”病毒(Stuxnet)或“毒區”病毒(Duqu)的20倍,此前從未有病毒能達到這種水準。它可以通過USB記憶體以及互聯網進行複製和傳播,並能接受來自世界各地多個伺服器的指令。一旦完成搜集數據任務,這些病毒還可自行毀滅,不留蹤跡。
庫柳克說,“火焰”病毒的設計十分複雜,絕非普通開發者能夠獨立完成。該病毒的攻擊範圍很窄,主要針對企業、學校和科研機構。它既沒有被用來盜取銀行帳號,也有別於駭客常用的工具。
雖然這種病毒是在最近才被發現的,但很多專家認為它可能已經存在了5年之久,包括伊朗、以色列、黎巴嫩、沙特和埃及在內的成千上萬臺電腦都已感染了這種病毒。而且這種病毒的攻擊活動不具規律性,個人電腦、教育機構、各類民間組織和國家機關都曾被其光顧過。電子郵件、檔、消息、內部討論等等都是其搜集的對象。
伊朗全國電腦緊急狀況應對小組證實發現這種病毒。這一機構在它的英文網站發佈消息,說“火焰”可能關聯伊朗數起電腦系統資訊失竊事件。
“火焰”被曝光以後,伊朗已經決定對該國所有官方機構的電腦系統進行緊急檢查,以便排除可能受到的病毒襲擊。
據介紹,“火焰”病毒的全名為Worm.Win32.Flame,它是一種後門程式和木馬病毒,同時又具有蠕蟲病毒的特點。只要其背後的操控者發出指令,它就能在網路、移動設備中進行自我複製。一旦電腦系統被感染,病毒將開始一系列複雜的行動,包括監測網絡流量、獲取截屏畫面、記錄音頻對話、截獲鍵盤輸入等。被感染系統中所有的數據都能通過鏈接傳到病毒指定的伺服器,讓操控者一目了然。據卡巴斯基實驗室統計,迄今發現感染該病毒的案例已有500多起,其中主要發生在伊朗、以色列和巴勒斯坦。蘇丹、敘利亞、黎巴嫩、沙烏地阿拉伯和埃及等國也有個別案例。病毒入侵的起始點目前尚不清楚。
卡巴斯基實驗室認為,“火焰”病毒讓人想起了此前伊朗遭遇的3種電腦病毒----stuxnet、Duqu和Wiper病毒,其中2010年發現的stuxnet病毒曾試圖破壞伊朗進行鈾濃縮的離心機,2011年發現的Duqu病毒用於收集機密資訊,這兩種病毒的開發背景有相同之處。Wiper病毒則在今年4月使伊朗一家大型石油公司的伺服器陷入癱瘓。
卡巴斯基實驗室在其網站上指出,“火焰”病毒的創建者使用了製造stuxnet病毒的一些技術,比如感染方式和漏洞探測程式。因此,“火焰”病毒可能是與stuxnet和Duqu病毒同期開發的“補充專案”。迄今,上述病毒的始作俑者依然都是謎。
推荐阅读
本类热门
评论 (0人参与)
最新评论