邁克菲實驗室：Flame病毒的深度分析

　　今年五月份發現的Flame病毒（又名Flamer、Skywiper或火焰病毒）對伊朗能源部門進行了猛烈的網絡攻擊，Flame病毒的出現引起了人們對於網絡間諜活動和網絡戰爭的高度關注。伊朗方面認為，Flame病毒與之前針對工業系統的臭名昭著的Stuxnet（震網）病毒和Duqu病毒有密切的關聯。

　　面對這一高危病毒，邁克菲實驗室第一時間對該病毒的相關功能和主要特性進行了深度分析和持續研究，以助力業界更好地了解這一威脅並找出應對措施。

　　根據邁克菲實驗室的分析，Flame病毒是一種模塊化的、可擴展和可更新的，具有廣泛隱蔽性和很強攻擊性的威脅。目前，邁克菲防病毒產品已經可以從感染的系統中檢測到這一威脅並進行清除。通過邁克菲的初期數據顯示，目前這一威脅還存在多種變體。

　　Flame病毒強大的攻擊能力

　　以下是邁克菲發現的Flame病毒的部分攻擊能力（實際上，Flame病毒的攻擊能力還遠不止於此）：

　　。掃描網絡資源

　　。竊取指定信息

　　。能夠偵測到100多種安全防護產品（包括反病毒軟件、反間諜軟件和防火牆等）

　　。進行屏幕截圖

　　。記錄語音通話

　　。利用 PE 加密資源

　　。像Stuxnet和Duqu一樣把自己隱藏為名為 ~ 的臨時文件

　　。使用已知漏洞，如被Stuxnet利用的Print Spooler 和lnk漏洞

　　。通過 USB 閃存和局域網攻擊新系統（緩慢傳播）

　　。使用 SQLite 數據庫存儲收集到的信息

　　。使用自定義數據庫來構建攻擊模塊（這很罕見，但顯示了這一惡意軟件的模塊化構造和可擴展性）

　　。運行於Windows XP、Windows Vista 和 Windows 7 系統

　　。隨 Winlogon.exe 一起加載並注入IE和服務項中

　　。復雜的內部功能能夠調用Windows APC、操控線程啟動並對關鍵進程進行代碼注入

　　。往往位於臨近的系統上並通過局域網進行總控和發起目標注入攻擊

　　。通過 SSH 和 HTTPS 協議與總控服務器通信

　　。同時使用內核模式和用戶模式邏輯

　　總體而言，Flame病毒在一些工作原理上與Stuxnet和Duqu十分類似，但代碼庫和具體實施上則差別很大，因為Flame病毒更加復雜，攻擊能力更強。

　　Flame病毒極其復雜的結構

　　邁克菲通過反編譯操作發現，其主模塊包含 65 萬行 C 語言編寫的代碼。所有跡象都表明，這並非這一惡意軟件的所有代碼，預計最高可能達到 75 萬行以上。鑒於此，邁克菲已著手展開長期分析，以確定其完整的功能和特性。

　　根據截至目前所獲得的數據及分析結果，邁克菲使用IDA（一款專業反匯編和反編譯工具）完成了跟蹤工作，並繪制了以下代碼關系圖：