邁克菲實(shí)驗(yàn)室：Flame病毒的深度分析(2)

邁克菲通過(guò)反編譯操作發(fā)現(xiàn)，其主模塊包含 65 萬(wàn)行 C 語(yǔ)言編寫(xiě)的代碼。所有跡象都表明，這并非這一惡意軟件的所有代碼，預(yù)計(jì)最高可能達(dá)到 75 萬(wàn)行以上。鑒于此，邁克菲已著手展開(kāi)長(zhǎng)期分析，以確定其完整的功能和特性。

根據(jù)截至目前所獲得的數(shù)據(jù)及分析結(jié)果，邁克菲使用IDA（一款專業(yè)反匯編和反編譯工具）完成了跟蹤工作，并繪制了以下代碼關(guān)系圖：

這個(gè)像龍卷風(fēng)一樣的代碼關(guān)系圖展示了Flame病毒龐大的代碼群及代碼間復(fù)雜的關(guān)系。令人驚嘆的是，這只是主模塊的代碼！僅僅這一個(gè)模塊就調(diào)用了大約 4400 多次字符串反混淆例程。本質(zhì)上講，如果代碼中存在容易引起關(guān)注的字符串，例如"flame::beetlejuice::BeetleJuiceDataCollector,"或"flame::gator::GatorCmdFetcher,"，它就會(huì)把信息封裝在一個(gè)密封函數(shù)中。這使得本已十分龐大的代碼進(jìn)一步"增肥"，要成功辨識(shí)更是難上加難。

代碼中用到的混淆字符串量超乎尋常，這保證了可執(zhí)行文件的功能不僅難于理解，而且即使代碼被他人捕獲也無(wú)法輕易用于其他目的。

代碼中包含了其所需的全部庫(kù)代碼：SSH、ZLib 例程、Web 服務(wù)器代碼等。從這點(diǎn)來(lái)說(shuō)，代碼中至少涉及幾十種加密函數(shù)，例如，Blowfish 算法、MD5/MD4 函數(shù)等。

Flame似乎對(duì)有關(guān)專業(yè)監(jiān)控需求和操作的信息"情有獨(dú)鐘"。它的一些功能和特性包括：

◆具備適用于文件系統(tǒng)解析和存取的低級(jí)別磁盤(pán)存取解析

◆支持 ZIP 文件解析

◆能夠解析多種文檔格式，例如，PDF、Microsoft Word 和其他 Office 格式

◆特別關(guān)注記錄項(xiàng)，搜索目標(biāo)項(xiàng)時(shí)即使是操作系統(tǒng)內(nèi)的隱藏位置也不會(huì)放過(guò)

◆"熱衷"于探究目標(biāo)桌面上的內(nèi)容

◆能夠在特定的域內(nèi)實(shí)現(xiàn)遠(yuǎn)程自行傳播

◆該惡意軟件在搜尋到需要的信息后會(huì)非常謹(jǐn)慎地傳回給控制服務(wù)器：這一點(diǎn)是通過(guò)在后臺(tái)啟動(dòng)額外的 IE 實(shí)例并將代碼注入其中來(lái)實(shí)現(xiàn)的。如此一來(lái)，它就成功"化身"為計(jì)算機(jī)上的一項(xiàng)"可信"進(jìn)程，從而繞過(guò)個(gè)人防火墻。

◆可能最重要的是，移動(dòng)設(shè)備才是它的"興趣所在"。 這正是 Beetlejuice 模塊的"用武之地"。該模塊就好像進(jìn)入計(jì)算機(jī)的"幽靈"一樣到處搜尋藍(lán)牙設(shè)備，同時(shí)通過(guò)查找聯(lián)系人來(lái)關(guān)注目標(biāo)受害人的社交網(wǎng)絡(luò)。在本地同樣可以這樣做，因?yàn)樗�能夠在文件中或�?zhí)行信息同步的主機(jī)上找到設(shè)備信息。目前為止，Sony 和 Nokia 設(shè)備的聯(lián)系信息已成為其覬覦的目標(biāo)。當(dāng)然，這其中的文章絕非表面看上去這樣簡(jiǎn)單。

實(shí)際上Flame病毒還在不斷"與時(shí)俱進(jìn)"。對(duì)該病毒的分析將是長(zhǎng)期的工作。20 世紀(jì) 90 年代，病毒分析可謂爭(zhēng)分奪秒，被調(diào)侃為"百米賽跑"。 如果說(shuō)那個(gè)年代的病毒的實(shí)際代碼可以打印出 100 米，那么 Flame的代碼長(zhǎng)度足可達(dá)到一英里（約為1609米）。這樣看來(lái)，對(duì)Flame病毒的分析可以堪稱"一英里徒步"！

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]