揭开“火焰”病毒（Flame）的神秘面纱

2012年5月27日，“火焰”病毒(Flame)被发现，这款恶意软件是一种复杂的网络间谍工具，主要攻击目标为中东地区的Windows计算机。几个小时后，已经运行多年的Flame命令与控制基础设施被关闭。但事情并没有结束，“火焰”病毒带来危害与影响已溢出了中东，扩散至欧洲、亚洲，甚至是全球。

在后的一周时间内，卡巴斯基实验室一直在密切监控“火焰”(Flame)的命令与控制基础设施。并成功破解了Flame命令控制中心所采用的大多数恶意域名，获取到大量一手情报，也逐步揭开了“火焰”的神秘面纱。

卡巴斯基安全网络(KSN)的统计数据，较为准确地反映Flame恶意软件真实的感染和传播分布情况。数据显示，虽然“火焰”攻击的目标主要集中在中东地区，但由于部分受害用户可能使用了VPN/代理服务，所以“火焰”病毒的传播已经蔓延到全球其它地区。

大多数被“火焰”感染的计算机运行的操作系统是Windows 7 32位，其次是Windows XP。卡巴斯基实验室的反病毒专家指出，“火焰”恶意程序中的模块“Gadget”(小伎俩)和模块“Munch”(咀嚼)能够对网络中其它计算机发起是一种“中间人”攻击。当计算机试图连接微软Windows更新时，它们将链接进行重定向，并向客户端发送一个假冒的恶意Windows更新链接，从而使计算机受到感染。

目前卡巴斯基实验室已发现约80个域名属于“火焰”病毒的指令与控制基础设施。其指令与控制服务器所使用的域名均是使用虚假的身份注册，并且通过多个注册商注册。最早的注册时间可以追溯到2008年。另外，“火焰”病毒的操纵者似乎对PDF 文档、Office文档和AutoCad绘图文件情有独钟。

面对“火焰”这个史上最复杂、危害最大的病毒程序，卡巴斯基实验室的安全专家建议广大网友，应及时下载安装Windows更新程序，修复系统漏洞，避免病毒通过漏洞实施攻击。同时安装卡巴斯基安全部队2012，彻底检测和查杀“火焰”病毒。

未经允许不得转载：DOIT » 揭开“火焰”病毒（Flame）的神秘面纱