|
今年五月份發(fā)現(xiàn)的Flame病毒(又名Flamer��、Skywiper或火焰病毒)對伊朗能源部門進(jìn)行了猛烈的網(wǎng)絡(luò)攻擊����,F(xiàn)lame病毒的出現(xiàn)引起了人們對于網(wǎng)絡(luò)間諜活動和網(wǎng)絡(luò)戰(zhàn)爭的高度關(guān)注。伊朗方面認(rèn)為���,F(xiàn)lame病毒與之前針對工業(yè)系統(tǒng)的臭名昭著的Stuxnet(震網(wǎng))病毒和Duqu病毒有密切的關(guān)聯(lián)�。
面對這一高危病毒����,邁克菲實(shí)驗(yàn)室第一時間對該病毒的相關(guān)功能和主要特性進(jìn)行了深度分析和持續(xù)研究,以助力業(yè)界更好地了解這一威脅并找出應(yīng)對措施����。
根據(jù)邁克菲實(shí)驗(yàn)室的分析,F(xiàn)lame病毒是一種模塊化的�、可擴(kuò)展和可更新的���,具有廣泛隱蔽性和很強(qiáng)攻擊性的威脅。目前����,邁克菲防病毒產(chǎn)品已經(jīng)可以從感染的系統(tǒng)中檢測到這一威脅并進(jìn)行清除。通過邁克菲的初期數(shù)據(jù)顯示���,目前這一威脅還存在多種變體�����。
Flame病毒強(qiáng)大的攻擊能力
以下是邁克菲發(fā)現(xiàn)的Flame病毒的部分攻擊能力(實(shí)際上���,F(xiàn)lame病毒的攻擊能力還遠(yuǎn)不止于此):
◆掃描網(wǎng)絡(luò)資源
◆竊取指定信息
◆能夠偵測到100多種安全防護(hù)產(chǎn)品(包括反病毒軟件、反間諜軟件和防火墻等)
◆進(jìn)行屏幕截圖
◆記錄語音通話
◆利用 PE 加密資源
◆像 Stuxnet 和 Duqu 一樣把自己隱藏為名為 ~ 的臨時文件
◆使用已知漏洞�,如被Stuxnet利用的Print Spooler 和 lnk漏洞
◆通過 USB 閃存和局域網(wǎng)攻擊新系統(tǒng)(緩慢傳播)
◆使用 SQLite 數(shù)據(jù)庫存儲收集到的信息
◆使用自定義數(shù)據(jù)庫來構(gòu)建攻擊模塊(這很罕見,但顯示了這一惡意軟件的模塊化構(gòu)造和可擴(kuò)展性)
◆運(yùn)行于Windows XP�、Windows Vista 和 Windows 7 系統(tǒng)
◆隨 Winlogon.exe 一起加載并注入IE和服務(wù)項(xiàng)中
◆復(fù)雜的內(nèi)部功能能夠調(diào)用Windows APC、操控線程啟動并對關(guān)鍵進(jìn)程進(jìn)行代碼注入
◆往往位于臨近的系統(tǒng)上并通過局域網(wǎng)進(jìn)行總控和發(fā)起目標(biāo)注入攻擊
◆通過 SSH 和 HTTPS 協(xié)議與總控服務(wù)器通信
◆同時使用內(nèi)核模式和用戶模式邏輯
總體而言���,F(xiàn)lame病毒在一些工作原理上與 Stuxnet 和 Duqu 十分類似���,但代碼庫和具體實(shí)施上則差別很大��,因?yàn)镕lame病毒更加復(fù)雜�,攻擊能力更強(qiáng)�。
本文出自:億恩科技【www.allwellnessguide.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)�!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
