互联网网络安全信息通报

2012年第12期(总第130期)主办:工业和信息化部通信保障局承办:国家互联网应急中心(CNCERT)2012年6月7日关于一种新的恶意程序"火焰"的情况通报5月28日计算机安全公司卡巴斯基实验室宣布,发现一种破坏力极大的全新计算机恶意程序"Worm.
Win32.
Flame".
CNCERT对此高度重视,紧急组织中国反网络病毒联盟(ANVA)成员单位报送"Flame"(中文名为"火焰")的样本和感染数量等信息.
5月29日,CNCERT迅速获得有关样本,并立即开始对样本进行深入分析.
截至目前分析,该恶意程序的主要功能是窃取信息,具有一定的传播性,其感染的系统主要位于中东地区.
另据赛门铁克安全响应团队分析,其他目标可能还包括俄罗斯、奥地利、匈牙利和中国香港.
现将有关情况通报如下:一、背景情况5月28日计算机安全公司卡巴斯基实验室宣布,发现一种破坏力极大的全新计算机恶意程序.
该实验室最早在一些联合国下属机构(ITU)计算机中发现该恶意程序的踪迹,当时,该组织发现来自中东地区的敏感文件莫名其妙的丢失.
随后,匈牙利的两家反病毒实验室和伊朗的反计算机病毒机构也宣布发现了该恶意程序.
此后,多家媒体报道:"最近一款名为Flame的病毒在中东多国爆发,其主要目的是收集情报.
虽然这种病毒是在最近才被发现的,不过很多专家认为它可能已经存在了5年之久,包括伊朗、巴勒斯坦地区、叙利亚、黎巴嫩、沙特和埃及在内的1000至5000台电脑都已感染了这种病毒".
同时,也有报道称"中国不在其攻击范围内,目前已检测到国内感染该病毒的少量电脑,疑似用户不慎通过U盘将Flame携带入境".
二、国内捕获和传播情况根据ANVA成员单位向CNCERT报送的情况,目前我国感染该恶意程序的数量较少.
具体情况如下:安天捕获20个样本文件,尚无法给出国内感染数量的有效统计;江民监测发现该恶意程序出现了15种变种,各变种平均感染数量为2台计算机;瑞星捕获到有关样本文件,监测发现国内感染数量几近为零;奇虎捕获到有关样本文件,尚未提供监测发现的感染数量.
三、国外有关机构的样本分析情况1、卡巴斯基的分析情况卡巴斯基实验室的研究显示,这一恶意程序呈现木马病毒和蠕虫病毒的部分特征,能收集受感染计算机内的信息、远程修改计算机设置、打开计算机话筒以录制附近的交谈内容、接入蓝牙通信系统、获取电脑截屏和窃取互联网聊天记录等.
病毒还可利用Windows操作系统漏洞侵入,可借助局域网络和USB接口等传播.
病毒编写者借助北美、欧洲和亚洲等地区大约80个服务器操控病毒.
卡巴斯基首席安全专家亚历山大·戈斯捷夫表示,由于"Flame"病毒体积较大,且编写方式非常复杂,因此可能需花上数年时间,才能完全了解该病毒的全部情况.
他同时表示,当初分析"震网"病毒用了半年时间,而"Flame"的复杂程度比"震网"高出20倍,要全面了解"Flame"可能得花上10年时间.
2、伊朗应急响应组织的分析情况5月28日,伊朗应急响应组织(IranianCERTCC)官网上称,该恶意程序是一个能够为不同的攻击目标提供接收和安装各种模块的平台.
根据捕获的样本,其文件命名规则、传播方法、复杂性、精确的定位及强大的功能,似乎与"Stuxnet"和"Duqu"有着密切的关系.
分析结果也暗示了最近伊朗发生的大规模数据丢失可能与感染了该病毒有关.
IranianCERTCC认为"Flame"的工作机制及传播特点包括:(1)通过可移动介质传播;(2)通过局域网传播;(3)通过网络嗅探,检测网络资源和收集脆弱的密码列表;(4)扫描受感染的系统的磁盘寻找特定的目录和内容;(5)当用户某些特定的进程或窗口处于活跃状态时,创建一系列的屏幕捕捉器;(6)使用受感染系统连接的麦克风来记录环境声音;(7)转移保存的数据到控制服务器;(8)控制服务器使用了10多个域名;(9)通过SSH和Https协议与控制服务器建立安全的连接;(10)绕过数十家知名的防病毒、反病毒和其他安全软件;(11)能够在WindowsXP、Vista和Windows7操作系统中传播;(12)能够感染大型的局域网.
3、CrySySLab的分析情况布达佩斯大学加密与系统安全实验室(CrySySLab)的研究人员认为该恶意程序是一种目标性攻击的重要部分,且构成相当复杂,它含有大量组件,其中部分文件也很大.
CrySySLab判断Flame可能已活跃了5到8年,或者更长时间.
分析人员从技术分析结果佐证该恶意程序可能是由某国的政府机构研发,可能与网络战争活动有关.
据CrySySLab研究人员研究发现,"Flame"与2011年11月发现的"Duqu"有很多差异,主要有以下几个特点:一是"Flame"使用压缩和加密技术来编码文件.
具体情况是,其使用了5种不同的加密方法(或一些变体),3种不同的压缩技术和至少5种不同的文件格式,并且使用了专门的代码注入技术.
二是"Flame"将搜集的信息以SQLite数据库这种高度结构化的格式存储在受感染的系统上.
三是编写"Flame"的部分代码是使用Lua脚本语言编写的,而Lua是一种几乎只有电子游戏程序员才使用的编程语言.
4、赛门铁克的分析情况赛门铁克安全响应团队分析,该恶意程序已经非常谨慎地运作了至少两年时间.
它不但能够窃取文件,对用户台式机进行截屏,通过USB驱动传播,禁用安全厂商的安全产品,并可能利用微软Windows系统的已知或已修补的漏洞等作为条件,进而在某个网络中传播.
赛门铁克判断,与"Stuxnet"及"Duqu"类似,该恶意程序非一人所为,而是有一个有组织、有资金支持并有明确方向性的网络犯罪团体所编写.
5、微软的分析情况微软也着手调查该恶意程序的传播情况,其分析发现"Flame"利用了微软一个较早的加密算法所存在的漏洞为代码签名,使其看起来像来自微软,从而能够绕过很多杀毒软件.
微软采取了以下措施来消除此风险,首先,发布安全公告,告知客户如何屏蔽这些未授权证书;其次,发布了一个补丁(KB2718704)自动为客户执行屏蔽功能;最后,终端服务器的授权服务将不再发布允许代码被签名的证书.
不过,微软称绝大部分用户并不受"Flame"的威胁,其主要是针对政府、军队、教育、科研等机构的计算机系统.
CNCERT将紧密关注事态形势.
各单位如发现有关攻击活动,请与CNCERT联系.
联系方式:010-82991000cncert@cert.
org.
cn.
(此页无正文)报:工业和信息化部通信保障局抄:工业和信息化部信息中心送:中国电信、中国移动、中国联通、其它互联网网络安全信息通报工作成员单位