5月28日消息,卡巴斯基實驗室此前宣布發(fā)現(xiàn)一種高度復雜的惡意程序——Flame(火焰),該惡意程序被用作網(wǎng)絡(luò)武器,已在幾個國家中發(fā)起攻擊。卡巴斯基實驗室的專家在參與由國際電聯(lián)(ITU)發(fā)起的一項研究調(diào)查中發(fā)現(xiàn)的Flame,該惡意程序是目前為止最大和最復雜網(wǎng)絡(luò)攻擊工具。
而隨著卡巴斯基實驗室對Flame病毒的深入分析,證實該程序目前被用來從事網(wǎng)絡(luò)間諜活動,除了感染計算機,還能盜取數(shù)據(jù)和敏感信息,被盜的數(shù)據(jù)隨后會發(fā)送至Flame的指令與控制(C&C)服務(wù)器。目前,卡巴斯基實驗室正在密切監(jiān)測Flame的指令與控制中心架構(gòu),并無私地將現(xiàn)有研究成功公諸于眾,共享國內(nèi)外的關(guān)注人群及研究人員。
據(jù)悉,卡巴斯基實驗室通過GoDaddy與OpenDNS的合作,成功的找出了大部分Flame指令與控制中心利用的惡意域名,并獲得了如下分析結(jié)果:
●Flame的指令與控制中心已運行了很多年,直到上周卡巴斯基實驗室宣布發(fā)現(xiàn)了此惡意程序,該中心立刻停止了運行。
●目前,F(xiàn)lame的指令與控制服務(wù)器使用的相關(guān)已知域名已經(jīng)超過80個,這些域名都是在2008 年和2012年之間注冊的。 在過去的四年間,F(xiàn)lame的指令與控制服務(wù)器主機先后更換了多次位置,涉及區(qū)域包括香港、土耳其、德國、波蘭、馬來西亞、拉脫維亞、英國和瑞士。
●Flame的指令與控制中心域名是由一大批虛假的身份信息來注冊的,從2008年以來的注冊人員信息可謂五花八門。
●從卡巴斯基實驗室的分析來看,受到感染的計算機用戶信息被多次在不同區(qū)域被注冊,包括中東、歐洲、北美和亞太地區(qū)。
●除了PDF和文本文件,F(xiàn)lame幕后的攻擊者看上去還對AutoCad繪圖軟件有極大的興趣。
●上傳到Flame指令與控制中心的數(shù)據(jù)使用相對簡單的運算規(guī)則進行加密,而被盜的文檔使用開源的Zlib和修改的PPDM壓縮程序進行壓縮。
●卡巴斯基實驗室之前推薦使用Windows 7(64位)來防護其它惡意軟件,現(xiàn)在看來也是防護Flame的有效方案。
在過去的一周內(nèi),卡巴斯基實驗室已經(jīng)聯(lián)系了多個國家的計算機病毒應(yīng)急處理機構(gòu),并通報有關(guān)Flame指令與控制中心的域名信息和惡意服務(wù)器的IP地址信息。
推薦閱讀
圖文:英特爾軟件與服務(wù)事業(yè)部中國區(qū)總經(jīng)理何京翔
6月15日上午消息,第十屆中國國際軟件和信息服務(wù)交易會今天在大連世界博覽廣場開幕。本屆軟交會為期四天,主題為“創(chuàng)新驅(qū)動增長,融合深化應(yīng)用——騰‘云’駕‘物’,智能互聯(lián)”。新浪科技作為獨家網(wǎng)絡(luò)戰(zhàn)略合作伙伴視>>>詳細閱讀
本文標題:卡巴斯基專家揭示Flame指令與控制中心架構(gòu)
地址:http://www.xglongwei.com/a/22/20120615/68628.html
網(wǎng)友點評
精彩導讀
科技快報
品牌展示