新的恶意软件Flame背后的代码与Stuxnet和Duqu具有很多相似之处,攻击的复杂程度和攻击内使用的技术都很相似,其主要目标是:伊朗。

最近发现一种针对伊朗能源设施的新的恶意软件,被称为“Flame”,“Flamer”或者“sKyWlper”,据称这种网络攻击远比Stuxnet要严重,迄今为止最致命的网络武器。然而,至少有一家安全供应商认为“Flame”纯属炒作,并称这种威胁“言过其实”。

恶意软件研究人员声称“Flame”背后的代码与Stuxnet和Duqu具有很多相似之处,攻击的复杂程度和攻击内使用的技术都很相似,其主要目标是:伊朗。

虽然尚未有任何团体或者国家正式声称对Stuxnet或Duqu负责,然而,这种攻击的复杂性以及对伊朗的针对性让观察者认为这些攻击可能是美国或以色列发起的国家级攻击。赛门铁克在其博客中表示“与前两种威胁一样,这种代码不太可能是单一个体编写的,而是由有组织的且资金雄厚的团体编写的。”

McAfee也认为Flame病毒与Stuxnet和Duqu相似,但同时指出这种攻击更加复杂,并具有显著的差异。Flame代码是模块化的、可扩展和可更新的,具有广泛的隐蔽性的恶意行为。Flame病毒可以窃取数据、捕捉屏幕截图、使用被感染系统的麦克风记录语音信息。

Stuxnet和Duqu都令人印象深刻,Flame似乎比这些“兄弟”网络攻击更加复杂。然而,有一家安全供应商并不这么认为,他们认为媒体似乎在散布恐惧、不确定性和怀疑。

Webroot发言人表示:“从复杂程度来看,我们认为Flame类似于Zeus、Spyeye或者TDL4,本质上Flame并没有很多新元素,基本上是用的是2007年当时的技术。”

Webroot认为Flame有一个元素可能是独一无二的很多反恶意软件工具使用某种形式的信誉分析来帮助确定特定程序是否属于恶意程序。从本质上讲,如果可执行文件在之前出现过,并且没有带来任何损害,它就可以“自由通过”,它获得了某种程度的信誉度。

留言评论(旧系统):

Say @ 2012-06-05 20:18:21

In case of Duqu, the authors used ZwCreateSection() and ZwMapViewOfSection() to copy code into running processes.But in case of Flame, the code injection mechanism is stealthier such that the presence of the code injection cannot be determined by conventional methods such as listing the modules of the corresponding system processes. So..maybe Flame is a developed form of Duqu.

本站回复:

是某个个发达国家的网络武器,但是新闻媒体以及一些垃圾杀毒厂商过度炒作了……