互联网网络安全信息通报
comodo杀毒 时间:2021-01-14 阅读:(
)
2012年第12期(总第130期)主办:工业和信息化部通信保障局承办:国家互联网应急中心(CNCERT)2012年6月7日关于一种新的恶意程序"火焰"的情况通报5月28日计算机安全公司卡巴斯基实验室宣布,发现一种破坏力极大的全新计算机恶意程序"Worm.
Win32.
Flame".
CNCERT对此高度重视,紧急组织中国反网络病毒联盟(ANVA)成员单位报送"Flame"(中文名为"火焰")的样本和感染数量等信息.
5月29日,CNCERT迅速获得有关样本,并立即开始对样本进行深入分析.
截至目前分析,该恶意程序的主要功能是窃取信息,具有一定的传播性,其感染的系统主要位于中东地区.
另据赛门铁克安全响应团队分析,其他目标可能还包括俄罗斯、奥地利、匈牙利和中国香港.
现将有关情况通报如下:一、背景情况5月28日计算机安全公司卡巴斯基实验室宣布,发现一种破坏力极大的全新计算机恶意程序.
该实验室最早在一些联合国下属机构(ITU)计算机中发现该恶意程序的踪迹,当时,该组织发现来自中东地区的敏感文件莫名其妙的丢失.
随后,匈牙利的两家反病毒实验室和伊朗的反计算机病毒机构也宣布发现了该恶意程序.
此后,多家媒体报道:"最近一款名为Flame的病毒在中东多国爆发,其主要目的是收集情报.
虽然这种病毒是在最近才被发现的,不过很多专家认为它可能已经存在了5年之久,包括伊朗、巴勒斯坦地区、叙利亚、黎巴嫩、沙特和埃及在内的1000至5000台电脑都已感染了这种病毒".
同时,也有报道称"中国不在其攻击范围内,目前已检测到国内感染该病毒的少量电脑,疑似用户不慎通过U盘将Flame携带入境".
二、国内捕获和传播情况根据ANVA成员单位向CNCERT报送的情况,目前我国感染该恶意程序的数量较少.
具体情况如下:安天捕获20个样本文件,尚无法给出国内感染数量的有效统计;江民监测发现该恶意程序出现了15种变种,各变种平均感染数量为2台计算机;瑞星捕获到有关样本文件,监测发现国内感染数量几近为零;奇虎捕获到有关样本文件,尚未提供监测发现的感染数量.
三、国外有关机构的样本分析情况1、卡巴斯基的分析情况卡巴斯基实验室的研究显示,这一恶意程序呈现木马病毒和蠕虫病毒的部分特征,能收集受感染计算机内的信息、远程修改计算机设置、打开计算机话筒以录制附近的交谈内容、接入蓝牙通信系统、获取电脑截屏和窃取互联网聊天记录等.
病毒还可利用Windows操作系统漏洞侵入,可借助局域网络和USB接口等传播.
病毒编写者借助北美、欧洲和亚洲等地区大约80个服务器操控病毒.
卡巴斯基首席安全专家亚历山大·戈斯捷夫表示,由于"Flame"病毒体积较大,且编写方式非常复杂,因此可能需花上数年时间,才能完全了解该病毒的全部情况.
他同时表示,当初分析"震网"病毒用了半年时间,而"Flame"的复杂程度比"震网"高出20倍,要全面了解"Flame"可能得花上10年时间.
2、伊朗应急响应组织的分析情况5月28日,伊朗应急响应组织(IranianCERTCC)官网上称,该恶意程序是一个能够为不同的攻击目标提供接收和安装各种模块的平台.
根据捕获的样本,其文件命名规则、传播方法、复杂性、精确的定位及强大的功能,似乎与"Stuxnet"和"Duqu"有着密切的关系.
分析结果也暗示了最近伊朗发生的大规模数据丢失可能与感染了该病毒有关.
IranianCERTCC认为"Flame"的工作机制及传播特点包括:(1)通过可移动介质传播;(2)通过局域网传播;(3)通过网络嗅探,检测网络资源和收集脆弱的密码列表;(4)扫描受感染的系统的磁盘寻找特定的目录和内容;(5)当用户某些特定的进程或窗口处于活跃状态时,创建一系列的屏幕捕捉器;(6)使用受感染系统连接的麦克风来记录环境声音;(7)转移保存的数据到控制服务器;(8)控制服务器使用了10多个域名;(9)通过SSH和Https协议与控制服务器建立安全的连接;(10)绕过数十家知名的防病毒、反病毒和其他安全软件;(11)能够在WindowsXP、Vista和Windows7操作系统中传播;(12)能够感染大型的局域网.
3、CrySySLab的分析情况布达佩斯大学加密与系统安全实验室(CrySySLab)的研究人员认为该恶意程序是一种目标性攻击的重要部分,且构成相当复杂,它含有大量组件,其中部分文件也很大.
CrySySLab判断Flame可能已活跃了5到8年,或者更长时间.
分析人员从技术分析结果佐证该恶意程序可能是由某国的政府机构研发,可能与网络战争活动有关.
据CrySySLab研究人员研究发现,"Flame"与2011年11月发现的"Duqu"有很多差异,主要有以下几个特点:一是"Flame"使用压缩和加密技术来编码文件.
具体情况是,其使用了5种不同的加密方法(或一些变体),3种不同的压缩技术和至少5种不同的文件格式,并且使用了专门的代码注入技术.
二是"Flame"将搜集的信息以SQLite数据库这种高度结构化的格式存储在受感染的系统上.
三是编写"Flame"的部分代码是使用Lua脚本语言编写的,而Lua是一种几乎只有电子游戏程序员才使用的编程语言.
4、赛门铁克的分析情况赛门铁克安全响应团队分析,该恶意程序已经非常谨慎地运作了至少两年时间.
它不但能够窃取文件,对用户台式机进行截屏,通过USB驱动传播,禁用安全厂商的安全产品,并可能利用微软Windows系统的已知或已修补的漏洞等作为条件,进而在某个网络中传播.
赛门铁克判断,与"Stuxnet"及"Duqu"类似,该恶意程序非一人所为,而是有一个有组织、有资金支持并有明确方向性的网络犯罪团体所编写.
5、微软的分析情况微软也着手调查该恶意程序的传播情况,其分析发现"Flame"利用了微软一个较早的加密算法所存在的漏洞为代码签名,使其看起来像来自微软,从而能够绕过很多杀毒软件.
微软采取了以下措施来消除此风险,首先,发布安全公告,告知客户如何屏蔽这些未授权证书;其次,发布了一个补丁(KB2718704)自动为客户执行屏蔽功能;最后,终端服务器的授权服务将不再发布允许代码被签名的证书.
不过,微软称绝大部分用户并不受"Flame"的威胁,其主要是针对政府、军队、教育、科研等机构的计算机系统.
CNCERT将紧密关注事态形势.
各单位如发现有关攻击活动,请与CNCERT联系.
联系方式:010-82991000cncert@cert.
org.
cn.
(此页无正文)报:工业和信息化部通信保障局抄:工业和信息化部信息中心送:中国电信、中国移动、中国联通、其它互联网网络安全信息通报
天上云服务器怎么样?天上云是国人商家,成都天上云网络科技有限公司,专注于香港、美国海外云服务器的产品,有多年的运维维护经验。世界这么大 靠谱最重,我们7*24H为您提供服务,贴心售后服务,安心、省事儿、稳定、靠谱。目前,天上云香港大带宽物理机服务器572元;20Mbps带宽!三网CN2线路,香港沙田数据中心!点击进入:天上云官方网站地址香港沙田数据中心!线路说明 :去程中国电信CN2 +中国联通+...
BuyVM商家算是一家比较老牌的海外主机商,公司设立在加拿大,曾经是低价便宜VPS主机的代表,目前为止有提供纽约、拉斯维加斯、卢森堡机房,以及新增加的美国迈阿密机房。如果我们有需要选择BuyVM商家的机器需要注意的是注册信息的时候一定要规范,否则很容易出现欺诈订单,甚至你开通后都有可能被禁止账户,也是这个原因,曾经被很多人吐槽的。这里我们简单的对于BuyVM商家新增加的迈阿密机房进行简单的测评。如...
优林怎么样?优林好不好?优林 是一家国人VPS主机商,成立于2016年,主营国内外服务器产品。云服务器基于hyper-v和kvm虚拟架构,国内速度还不错。今天优林给我们带来促销的是国内西南地区高防云服务器!全部是独享带宽!续费同价!官方网站:https://www.idc857.com地区CPU内存硬盘流量带宽防御价格购买地址德阳高防4核4g50G无限流量10M100G70元/月点击购买德阳高防...
comodo杀毒为你推荐
网站域名注册有没有免费的域名申请info域名注册info域名什么时候出现的?com域名空间.com的域名+300M的空间要多少钱?英文域名中文域名与英文域名有什么区别,中文域名为什么贵?在搜索时哪个更有优势海外域名怎样注册国外域名?云服务器租用云服务器怎么租呀php虚拟空间怎样修改php虚拟空间单个文件上传大小限制网站空间申请网站空间申请虚拟主机软件哪种虚拟机软件好用论坛虚拟主机做论坛-需要什么类型的虚拟主机?
vps交流 godaddy域名解析 stablehost mediafire idc评测网 gomezpeer tk域名 北京主机 亚洲小于500m 150邮箱 in域名 smtp服务器地址 日本代理ip supercache 国外网页代理 云服务是什么意思 美国十大啦 magento主机 ftp是什么东西 华为云服务器宕机 更多