在伊朗承认其石油部门受计算机病毒“火焰”影响后,多家反病毒公司的专家表示,“火焰”的确有独特之处,比此前发现的病毒要复杂。
代码打印长达2400米
火焰”病毒引起人们对网络间谍活动的关注,伊朗网络安全部门表示,“火焰”和著名的“震网(Stuxnet)”、Duqu病毒有“密切关系”。“震网”和Duqu被看作是最早出现的两种“网络间谍战武器”。
“震网”于2010年7月被发现,这种蠕虫病毒专门针对德国西门子公司设计制造的供水、发电等基础设施的计算机控制系统,伊朗曾承认“震网”影响到其核电站的部分离心机。Duqu病毒针对的也是工业控制系统,目的在于收集信息。大部分反病毒专家认为,“震网”和Duqu来源相同,需要多人长时间合作完成,因此可能是某组织或政府机构所为。
与“震网”相比,“火焰”病毒最直观的特点是代码量大,达到65万行,是前者的20倍。这种大型的恶意软件常被业内人士称作“百米赛跑”,指的是代码打印出来的纸张长度。“火焰”代码打印出来的纸张长度达到2400米。
可通吃各行业信息
从功能上看,“震网”和Duqu能破坏某个目标,而“火焰”则是为了收集各行业的敏感信息。反病毒企业迈克菲公司负责安全研究的戴维·马库斯等专家对媒体表示,“火焰”的散布范围主要在中东地区,但可针对多个不同行业。它实际是一个工具包,当计算机感染最初的“火焰”病毒后,计算机就会被安装特定的任务模块。
研究人员已发现,这些特定的任务模块可捕捉键盘敲击、窃取密码、删除硬盘数据、激活语音系统窃听网络电话和聊天内容,甚至利用蓝牙功能窃取与被感染电脑相连的智能手机、平板电脑中的内容。
利用已知漏洞攻击
马库斯解释说,“震网”当年“成名”的一个重要原因在于它使用了“零日漏洞”攻击,即病毒编写者利用自己发现的4个系统漏洞,在软件公司发布补丁之前发起攻击。但“火焰”利用的都是已知漏洞,甚至包括“震网”曾攻击的两个漏洞。
由此看来,“火焰”编写者很可能做了大量调研,分析了目标计算机的操作系统,发现目标还没有修补某些系统漏洞,掌握了渗透这些系统的最佳方式。
通过蓝牙信号传递指令也是此前罕见的功能。迈克菲公司的研究人员已成功关闭了几个向被感染计算机发送指令的服务器。但即便与服务器的联系被切断,攻击者依然可通过蓝牙信号对被感染计算机进行近距离控制。
源代码暂时没有了。
标签:火焰,超级,病毒
