本頁使用了標題或全文手工轉換

火焰 (惡意軟體)

維基百科,自由的百科全書
前往: 導覽搜尋

火焰病毒(Flame,又名Flamer,sKyWIper,Skywiper)是一種2012年5月被發現的電腦病毒,也譯作「超級火焰」,以LuaC++語言寫成,利用微軟公司Windows作業系統的兩處瑕疵侵入電腦並注入其他程式。大約從2010年開始散播,其所包含的代碼量約是之前發現的震網病毒(Stuxnet)或毒區病毒(Duqu)的20倍,被稱為有史以來最複雜的惡意軟體,在中東大範圍傳播。[1]

火焰病毒偽裝成微軟開發的合法程式,侵入個人電腦、竊取私密資料。主要功能在收集個人資訊,並上傳到網路,以數種方式進行活動,包括錄音擷取螢幕畫面、侵入鄰近的藍牙裝置等。大小約為20MB,包含數個模組,包括解壓縮程式庫、SQL資料庫、和Lua虛擬器等。[2]因為它在收到指令的情況下,會自我刪除,而且其注入其他程式後,會將自己所在記憶體區段設定為用戶態不可讀、用戶態不可寫、用戶態不可執行,所以很難被用戶態下的其它程式偵測出來。[3]

伊朗方面於2012年4月時,稱該病毒被其創造者命名為Wiper[4] 。而卡巴斯基則說它和Wiper沒有什麼關係[5]。儘管以色列副部長摩西的某段講話似乎暗示了以色列是始作俑者,但目前以色列在受害數量上僅次於伊朗的189起,為89起[6][7]

報導聲稱該惡意軟體美國國家安全局以色列合作研發[8][9]。類似震網病毒,可能都在Olympic Games計劃下開發出來[10]。印度時報報導,目前有80家來自亞洲、歐洲和北美的伺服器在操作這種病毒。美國和以色列都正式否認與此病毒有關。[11] [12]

微軟推出KB2718704更新程式來防範該病毒。[13][14]

值得注意的是,該惡意軟體中包含了一個偽造的數位簽章。被偽造簽名的主體是Microsoft Enforced Licensing Intermediate PCA數位憑證認證機構[15]。由於微軟在終端服務授權服務憑證中,錯誤地啟用了代碼簽名功能,並且儘管早在2008年便有人成功地偽造了使用MD5作為簽名演算法的數位憑證[16],這一憑證卻依舊在使用MD5作為簽名演算法。這使得偽造該憑證變得比較容易。此惡意軟體的開發者成功地通過選定字首攻擊法偽造了這一憑證,並用於簽名該惡意軟體,使得它看起來像是來自微軟。[17]

注釋[編輯]

  1. ^ 最複雜電腦病毒「火焰」曝光已入侵中東多國. 中國廣播網. 2012-05-30 [2012-05-30]. 
  2. ^ 謹防超級火焰病毒Flame和「暴雷」漏洞威脅. 浙江省公安廳. 2012-07-02 [2012-07-02]. 
  3. ^ sKyWIper: A Complex Malware for Targeted Attacks (PDF). Budapest University of Technology and Economics. 28 May 2012 [29 May 2012]. (原始內容存檔於30 May 2012). 
  4. ^ http://www.nytimes.com/2012/04/24/world/middleeast/iranian-oil-sites-go-offline-amid-cyberattack.html
  5. ^ Meet 『火焰病毒,』 The Massive Spy Malware Infiltrating Iranian Computers
  6. ^ 火焰病毒: Massive cyber-attack discovered, researchers say
  7. ^ 全新電腦病毒「火焰」攻擊伊朗能源設施
  8. ^ U.S., Israel developed Flame computer virus to slow Iranian nuclear efforts, officials say. 華盛頓郵報. 2012-06-20. 
  9. ^ 華盛頓郵報:美以研發Flame病毒攻擊伊朗. 新浪香港. 2012-06-20. 
  10. ^ 病毒「火焰」美以網路戰祕密武器. 中國時報. 2012-06-21. 
  11. ^ Tsukayama, Hayley. Flame cyberweapon written using gamer code, report says. The Washington Post. 31 May 2012 [31 May 2012]. 
  12. ^ Flame: Israel rejects link to malware cyber-attack. BBC News. 31 May 2012 [3 June 2012]. 
  13. ^ 未經授權的數位憑證可能允許欺騙
  14. ^ Microsoft Security Advisory (2718704):Unauthorized Digital Certificates Could Allow Spoofing
  15. ^ Microsoft releases Security Advisory 2718704. Microsoft. 3 June 2012 [4 June 2012]. 
  16. ^ Sotirov, Alexander; Stevens, Marc; Appelbaum, Jacob; Lenstra, Arjen; Molnar, David; Osvik, Dag Arne; de Weger, Benne. MD5 Considered Harmful Today. 30 December 2008 [4 June 2011]. 
  17. ^ Stevens, Marc. CWI Cryptanalist Discovers New Cryptographic Attack Variant in Flame Spy Malware. Centrum Wiskunde & Informatica. 7 June 2012 [9 June 2012]. 

相關條目[編輯]