互联网网络安全信息通报

木马病毒  时间:2021-02-18  阅读:()
2012年第12期(总第130期)主办:工业和信息化部通信保障局承办:国家互联网应急中心(CNCERT)2012年6月7日关于一种新的恶意程序"火焰"的情况通报5月28日计算机安全公司卡巴斯基实验室宣布,发现一种破坏力极大的全新计算机恶意程序"Worm.
Win32.
Flame".
CNCERT对此高度重视,紧急组织中国反网络病毒联盟(ANVA)成员单位报送"Flame"(中文名为"火焰")的样本和感染数量等信息.
5月29日,CNCERT迅速获得有关样本,并立即开始对样本进行深入分析.
截至目前分析,该恶意程序的主要功能是窃取信息,具有一定的传播性,其感染的系统主要位于中东地区.
另据赛门铁克安全响应团队分析,其他目标可能还包括俄罗斯、奥地利、匈牙利和中国香港.
现将有关情况通报如下:一、背景情况5月28日计算机安全公司卡巴斯基实验室宣布,发现一种破坏力极大的全新计算机恶意程序.
该实验室最早在一些联合国下属机构(ITU)计算机中发现该恶意程序的踪迹,当时,该组织发现来自中东地区的敏感文件莫名其妙的丢失.
随后,匈牙利的两家反病毒实验室和伊朗的反计算机病毒机构也宣布发现了该恶意程序.
此后,多家媒体报道:"最近一款名为Flame的病毒在中东多国爆发,其主要目的是收集情报.
虽然这种病毒是在最近才被发现的,不过很多专家认为它可能已经存在了5年之久,包括伊朗、巴勒斯坦地区、叙利亚、黎巴嫩、沙特和埃及在内的1000至5000台电脑都已感染了这种病毒".
同时,也有报道称"中国不在其攻击范围内,目前已检测到国内感染该病毒的少量电脑,疑似用户不慎通过U盘将Flame携带入境".
二、国内捕获和传播情况根据ANVA成员单位向CNCERT报送的情况,目前我国感染该恶意程序的数量较少.
具体情况如下:安天捕获20个样本文件,尚无法给出国内感染数量的有效统计;江民监测发现该恶意程序出现了15种变种,各变种平均感染数量为2台计算机;瑞星捕获到有关样本文件,监测发现国内感染数量几近为零;奇虎捕获到有关样本文件,尚未提供监测发现的感染数量.
三、国外有关机构的样本分析情况1、卡巴斯基的分析情况卡巴斯基实验室的研究显示,这一恶意程序呈现木马病毒和蠕虫病毒的部分特征,能收集受感染计算机内的信息、远程修改计算机设置、打开计算机话筒以录制附近的交谈内容、接入蓝牙通信系统、获取电脑截屏和窃取互联网聊天记录等.
病毒还可利用Windows操作系统漏洞侵入,可借助局域网络和USB接口等传播.
病毒编写者借助北美、欧洲和亚洲等地区大约80个服务器操控病毒.
卡巴斯基首席安全专家亚历山大·戈斯捷夫表示,由于"Flame"病毒体积较大,且编写方式非常复杂,因此可能需花上数年时间,才能完全了解该病毒的全部情况.
他同时表示,当初分析"震网"病毒用了半年时间,而"Flame"的复杂程度比"震网"高出20倍,要全面了解"Flame"可能得花上10年时间.
2、伊朗应急响应组织的分析情况5月28日,伊朗应急响应组织(IranianCERTCC)官网上称,该恶意程序是一个能够为不同的攻击目标提供接收和安装各种模块的平台.
根据捕获的样本,其文件命名规则、传播方法、复杂性、精确的定位及强大的功能,似乎与"Stuxnet"和"Duqu"有着密切的关系.
分析结果也暗示了最近伊朗发生的大规模数据丢失可能与感染了该病毒有关.
IranianCERTCC认为"Flame"的工作机制及传播特点包括:(1)通过可移动介质传播;(2)通过局域网传播;(3)通过网络嗅探,检测网络资源和收集脆弱的密码列表;(4)扫描受感染的系统的磁盘寻找特定的目录和内容;(5)当用户某些特定的进程或窗口处于活跃状态时,创建一系列的屏幕捕捉器;(6)使用受感染系统连接的麦克风来记录环境声音;(7)转移保存的数据到控制服务器;(8)控制服务器使用了10多个域名;(9)通过SSH和Https协议与控制服务器建立安全的连接;(10)绕过数十家知名的防病毒、反病毒和其他安全软件;(11)能够在WindowsXP、Vista和Windows7操作系统中传播;(12)能够感染大型的局域网.
3、CrySySLab的分析情况布达佩斯大学加密与系统安全实验室(CrySySLab)的研究人员认为该恶意程序是一种目标性攻击的重要部分,且构成相当复杂,它含有大量组件,其中部分文件也很大.
CrySySLab判断Flame可能已活跃了5到8年,或者更长时间.
分析人员从技术分析结果佐证该恶意程序可能是由某国的政府机构研发,可能与网络战争活动有关.
据CrySySLab研究人员研究发现,"Flame"与2011年11月发现的"Duqu"有很多差异,主要有以下几个特点:一是"Flame"使用压缩和加密技术来编码文件.
具体情况是,其使用了5种不同的加密方法(或一些变体),3种不同的压缩技术和至少5种不同的文件格式,并且使用了专门的代码注入技术.
二是"Flame"将搜集的信息以SQLite数据库这种高度结构化的格式存储在受感染的系统上.
三是编写"Flame"的部分代码是使用Lua脚本语言编写的,而Lua是一种几乎只有电子游戏程序员才使用的编程语言.
4、赛门铁克的分析情况赛门铁克安全响应团队分析,该恶意程序已经非常谨慎地运作了至少两年时间.
它不但能够窃取文件,对用户台式机进行截屏,通过USB驱动传播,禁用安全厂商的安全产品,并可能利用微软Windows系统的已知或已修补的漏洞等作为条件,进而在某个网络中传播.
赛门铁克判断,与"Stuxnet"及"Duqu"类似,该恶意程序非一人所为,而是有一个有组织、有资金支持并有明确方向性的网络犯罪团体所编写.
5、微软的分析情况微软也着手调查该恶意程序的传播情况,其分析发现"Flame"利用了微软一个较早的加密算法所存在的漏洞为代码签名,使其看起来像来自微软,从而能够绕过很多杀毒软件.
微软采取了以下措施来消除此风险,首先,发布安全公告,告知客户如何屏蔽这些未授权证书;其次,发布了一个补丁(KB2718704)自动为客户执行屏蔽功能;最后,终端服务器的授权服务将不再发布允许代码被签名的证书.
不过,微软称绝大部分用户并不受"Flame"的威胁,其主要是针对政府、军队、教育、科研等机构的计算机系统.
CNCERT将紧密关注事态形势.
各单位如发现有关攻击活动,请与CNCERT联系.
联系方式:010-82991000cncert@cert.
org.
cn.
(此页无正文)报:工业和信息化部通信保障局抄:工业和信息化部信息中心送:中国电信、中国移动、中国联通、其它互联网网络安全信息通报工作成员单位

LOCVPS新上日本软银线路VPS,原生IP,8折优惠促销

LOCVPS在农历新年之后新上架了日本大阪机房软银线路VPS主机,基于KVM架构,配备原生IP,适用全场8折优惠码,最低2GB内存套餐优惠后每月仅76元起。LOCVPS是一家成立于2012年的国人VPS服务商,提供中国香港、韩国、美国、日本、新加坡、德国、荷兰、俄罗斯等地区VPS服务器,基于KVM或XEN架构(推荐选择KVM),线路方面均选择国内直连或优化方案,访问延迟低,适合建站或远程办公使用。...

什么是BGP国际线路及BGP线路有哪些优势

我们在选择虚拟主机和云服务器的时候,是不是经常有看到有的线路是BGP线路,比如前几天有看到服务商有国际BGP线路和国内BGP线路。这个BGP线路和其他服务线路有什么不同呢?所谓的BGP线路机房,就是在不同的运营商之间通过技术手段时间各个网络的兼容速度最佳,但是IP地址还是一个。正常情况下,我们看到的某个服务商提供的IP地址,在电信和联通移动速度是不同的,有的电信速度不错,有的是移动速度好。但是如果...

RAKsmart:美国洛杉矶独服,E3处理器/16G/1TB,$76.77/月;美国/香港/日本/韩国站群服务器,自带5+253个IPv4

RAKsmart怎么样?RAKsmart机房即日起开始针对洛杉矶机房的独立服务器进行特别促销活动:低至$76.77/月,最低100Mbps带宽,最高10Gbps带宽,优化线路,不限制流量,具体包括有:常规服务器、站群服务器、10G大带宽服务器、整机机柜托管。活动截止6月30日结束。RAKsmart,美国华人老牌机房,专注于圣何塞服务器,有VPS、独立服务器等。支持PayPal、支付宝付款。点击直达...

木马病毒为你推荐
绵阳电信绵阳电信宽带资费金山杀毒怎么样金山杀毒怎么样?办公协同软件免费的多人协同办公软件哪些,我了解的有钉钉、企业微信,其他的还有么?网易公开课怎么下载如何下载网易公开课开机滚动条电脑开机启动滚动条时间长怎么办?ejb开发EJB是什么?mate8价格华为mate8什么时候会降价安全漏洞计算机一般存在哪些安全漏洞?电子商务网站模板电子商务网站模板哪个好?电子商务网站模板免费建站怎么样?分词技术怎么在SEO中学会运用关键词分词技术
美国免费虚拟主机 哈尔滨域名注册 vps是什么 vps代购 budgetvm sugarhosts flashfxp怎么用 plesk 樊云 国外空间服务商 英语简历模板word evssl证书 dd444 天互数据 100m空间 佛山高防服务器 hktv 常州联通宽带 个人免费主页 网站加速软件 更多