fbpx
维基百科

火焰 (恶意软件)

一月 30, 2023

火焰病毒(Flame,又名Flamer,sKyWIper,Skywiper)是一种2012年5月被发现的恶意软件,也译作“超级火焰”,以LuaC++語言寫成,利用微軟公司Windows作業系統的两处瑕疵侵入電腦并注入其他程序。大約從2010年開始散播,其所包含的代码量约是之前发现的震网病毒(Stuxnet)或毒区病毒(Duqu)的20倍,被称为有史以来最复杂的恶意软件,在中东大范围传播。[1]

火焰病毒偽裝成微軟開發的合法程式,侵入個人電腦、竊取私密資料。主要功能在收集個人資訊,並上傳到網路,以數種方式進行活動,包括錄音擷取螢幕畫面、侵入鄰近的藍牙裝置等。大小约為20MB,包含數個模組,包括解壓縮程式庫、SQL資料庫、和Lua虛擬器等。[2]因為它在收到指令的情况下,會自我刪除,而且其注入其他程序后,会将自己所在内存区段设置为用户态不可读、用户态不可写、用户态不可执行,所以很難被用户态下的其它程序偵測出來。[3]

伊朗方面於2012年4月时,称该病毒被其创造者命名为Wiper[4] 。而卡巴斯基则说它和Wiper没有什么关系[5]。尽管以色列副部长摩西的某段讲话似乎暗示了以色列是始作俑者,但目前以色列在受害数量上仅次于伊朗的189起,为89起[6][7]

報導声称該惡意軟體美國國家安全局以色列合作研發[8][9]。類似震网病毒,可能都在Olympic Games計劃下開發出來[10]。印度时报报道,目前有80家来自亚洲、欧洲和北美的服务器在操作这种病毒。美国和以色列都正式否认与此病毒有关。[11] [12]

微软推出KB2718704更新程序来防范该病毒。[13][14]

值得注意的是,该恶意软件中包含了一个伪造的数字签名。被伪造签名的主体是Microsoft Enforced Licensing Intermediate PCA数字证书认证机构[15]。由于微软在终端服务授权服务证书中,错误地启用了代码签名功能,并且尽管早在2008年便有人成功地伪造了使用MD5作为签名算法的数字证书[16],这一证书却依旧在使用MD5作为签名算法。这使得伪造该证书变得比较容易。此恶意软件的开发者成功地通过选定前缀攻击法伪造了这一证书,并用于签名该恶意软件,使得它看起来像是来自微软。[17]

注释

  1. ^ 最复杂电脑病毒“火焰”曝光已入侵中东多国. 中国广播网. 2012-05-30 [2012-05-30]. (原始内容于2016-03-06). 
  2. ^ 谨防超级火焰病毒Flame和“暴雷”漏洞威胁. 浙江省公安厅. 2012-07-02 [2012-07-02]. [永久失效連結]
  3. ^ sKyWIper: A Complex Malware for Targeted Attacks (PDF). Budapest University of Technology and Economics. 28 May 2012 [29 May 2012]. (原始内容 (PDF)存档于2012年5月30日). 
  4. ^ 存档副本. [2012-05-31]. (原始内容存档于2012-05-30). 
  5. ^ Meet ‘Flame,’ The Massive Spy Malware Infiltrating Iranian Computers. [2012-05-31]. (原始内容于2014-03-26). 
  6. ^ Flame: Massive cyber-attack discovered, researchers say. [2012-05-31]. (原始内容于2019-04-09). 
  7. ^ 全新电脑病毒“火焰”攻击伊朗能源设施. [2012-05-31]. (原始内容于2016-08-18). 
  8. ^ U.S., Israel developed Flame computer virus to slow Iranian nuclear efforts, officials say. 華盛頓郵報. 2012-06-20 [2012-06-30]. (原始内容于2021-04-15). 
  9. ^ . 新浪香港. 2012-06-20 [2012-06-30]. (原始内容存档于2014-03-09). 
  10. ^ . 中國時報. 2012-06-21 [2012-06-21]. (原始内容存档于2012-07-04). 
  11. ^ Tsukayama, Hayley. Flame cyberweapon written using gamer code, report says. The Washington Post. 31 May 2012 [31 May 2012]. (原始内容于2020-06-01). 
  12. ^ Flame: Israel rejects link to malware cyber-attack. BBC News. 31 May 2012 [3 June 2012]. (原始内容于2021-01-26). 
  13. ^ 未经授权的数字证书可能允许欺骗. [2014-03-18]. (原始内容于2014-12-19). 
  14. ^ Microsoft Security Advisory (2718704):Unauthorized Digital Certificates Could Allow Spoofing. [2014-03-18]. (原始内容于2014-03-30). 
  15. ^ . Microsoft. 3 June 2012 [4 June 2012]. (原始内容存档于2012-06-07). 
  16. ^ Sotirov, Alexander; Stevens, Marc; Appelbaum, Jacob; Lenstra, Arjen; Molnar, David; Osvik, Dag Arne; de Weger, Benne. MD5 Considered Harmful Today. 30 December 2008 [4 June 2011]. (原始内容于2017-09-20). 
  17. ^ Stevens, Marc. CWI Cryptanalist Discovers New Cryptographic Attack Variant in Flame Spy Malware. Centrum Wiskunde & Informatica. 7 June 2012 [9 June 2012]. (原始内容于2017-02-28). 

相關條目

一月 30, 2023
火焰, 恶意软件, 火焰病毒, flame, 又名flamer, skywiper, skywiper, 是一种2012年5月被发现的恶意软件, 也译作, 超级火焰, 以lua和c, 語言寫成, 利用微軟公司windows作業系統的两处瑕疵侵入電腦并注入其他程序, 大約從2010年開始散播, 其所包含的代码量约是之前发现的震网病毒, stuxnet, 或毒区病毒, duqu, 的20倍, 被称为有史以来最复杂的恶意软件, 在中东大范围传播, 火焰病毒偽裝成微軟開發的合法程式, 侵入個人電腦, 竊取私密資料, 主要功. 火焰病毒 Flame 又名Flamer sKyWIper Skywiper 是一种2012年5月被发现的恶意软件 也译作 超级火焰 以Lua和C 語言寫成 利用微軟公司Windows作業系統的两处瑕疵侵入電腦并注入其他程序 大約從2010年開始散播 其所包含的代码量约是之前发现的震网病毒 Stuxnet 或毒区病毒 Duqu 的20倍 被称为有史以来最复杂的恶意软件 在中东大范围传播 1 火焰病毒偽裝成微軟開發的合法程式 侵入個人電腦 竊取私密資料 主要功能在收集個人資訊 並上傳到網路 以數種方式進行活動 包括錄音 擷取螢幕畫面 侵入鄰近的藍牙裝置等 大小约為20MB 包含數個模組 包括解壓縮程式庫 SQL資料庫 和Lua虛擬器等 2 因為它在收到指令的情况下 會自我刪除 而且其注入其他程序后 会将自己所在内存区段设置为用户态不可读 用户态不可写 用户态不可执行 所以很難被用户态下的其它程序偵測出來 3 伊朗方面於2012年4月时 称该病毒被其创造者命名为Wiper 4 而卡巴斯基则说它和Wiper没有什么关系 5 尽管以色列副部长摩西的某段讲话似乎暗示了以色列是始作俑者 但目前以色列在受害数量上仅次于伊朗的189起 为89起 6 7 報導声称該惡意軟體由美國國家安全局和以色列合作研發 8 9 類似震网病毒 可能都在Olympic Games計劃下開發出來 10 印度时报报道 目前有80家来自亚洲 欧洲和北美的服务器在操作这种病毒 美国和以色列都正式否认与此病毒有关 11 12 微软推出KB2718704更新程序来防范该病毒 13 14 值得注意的是 该恶意软件中包含了一个伪造的数字签名 被伪造签名的主体是Microsoft Enforced Licensing Intermediate PCA数字证书认证机构 15 由于微软在终端服务授权服务证书中 错误地启用了代码签名功能 并且尽管早在2008年便有人成功地伪造了使用MD5作为签名算法的数字证书 16 这一证书却依旧在使用MD5作为签名算法 这使得伪造该证书变得比较容易 此恶意软件的开发者成功地通过选定前缀攻击法伪造了这一证书 并用于签名该恶意软件 使得它看起来像是来自微软 17 属性 值以下是伪造的证书的详细信息 版本 V3序列号 3a ab 11 de e5 2f 1b 19 d0 56签名算法 md5RSA签名散列算法 md5颁发者 CN Microsoft Root Authority OU Microsoft Corporation OU Copyright c 1997 Microsoft Corp 有效期起始 2009年12月10日11 55 35有效期终止 2016年10月23日18 00 00主体 CN Microsoft Enforced Licensing Intermediate PCA OU Copyright c 1999 Microsoft Corp O Microsoft Corporation L Redmond S Washington C US主体公钥 30 82 01 0a 02 82 01 01 00 fa c9 3f 35 cb b4 42 4c 19 a8 98 e2 f4 e6 ca c5 b2 ff e9 29 25 63 9a b7 eb b9 28 2b a7 58 1f 05 df d8 f8 cf 4a f1 92 47 15 c0 b5 e0 42 32 37 82 99 d6 4b 3a 5a d6 7a 25 2a 9b 13 8f 75 75 cb 9e 52 c6 65 ab 6a 0a b5 7f 7f 20 69 a4 59 04 2c b7 b5 eb 7f 2c 0d 82 a8 3b 10 d1 7f a3 4e 39 e0 28 2c 39 f3 78 d4 84 77 36 ba 68 0f e8 5d e5 52 e1 6c e2 78 d6 d7 c6 b9 dc 7b 08 44 ad 7d 72 ee 4a f4 d6 5a a8 59 63 f4 a0 ee f3 28 55 7d 2b 78 68 2e 79 b6 1d e6 af 69 8a 09 ba 39 88 b4 92 65 0d 12 17 09 ea 2a a4 b8 4a 8e 40 f3 74 de a4 74 e5 08 5a 25 cc 80 7a 76 2e ee ff 21 4e b0 65 6c 64 50 5c ad 8f c6 59 9b 07 3e 05 f8 e5 92 cb d9 56 1d 30 0f 72 f0 ac a8 5d 43 41 ff c9 fd 5e fa 81 cc 3b dc f0 fd 56 4c 21 7c 7f 5e ed 73 30 3a 3f f2 e8 93 8b d5 f3 cd 0e 27 14 49 67 94 ce b9 25 02 03 01 00 01增强密钥用法 代码签名 1 3 6 1 5 5 7 3 3 许可证密钥包 1 3 6 1 4 1 311 10 6 1 授权服务器验证 1 3 6 1 4 1 311 10 6 2 颁发者标识 证书颁发者 CN Microsoft Root Authority OU Microsoft Corporation OU Copyright c 1997 Microsoft Corp 证书序列号 00 c1 00 8b 3c 3c 88 11 d1 3e f6 63 ec df 40主体标识 6a 97 e0 c8 9f f4 49 b4 89 24 b3 e3 d1 a8 22 86 aa d4 94 43密钥使用 数字签名证书签名离线证书吊销列表签名证书吊销列表签名 86 基本限制 主体类型 数字证书认证机构路径长度限制 无指纹算法 sha1指纹 2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70注释 编辑 最复杂电脑病毒 火焰 曝光已入侵中东多国 中国广播网 2012 05 30 2012 05 30 原始内容存档于2016 03 06 谨防超级火焰病毒Flame和 暴雷 漏洞威胁 浙江省公安厅 2012 07 02 2012 07 02 永久失效連結 sKyWIper A Complex Malware for Targeted Attacks PDF Budapest University of Technology and Economics 28 May 2012 29 May 2012 原始内容 PDF 存档于2012年5月30日 存档副本 2012 05 31 原始内容存档于2012 05 30 Meet Flame The Massive Spy Malware Infiltrating Iranian Computers 2012 05 31 原始内容存档于2014 03 26 Flame Massive cyber attack discovered researchers say 2012 05 31 原始内容存档于2019 04 09 全新电脑病毒 火焰 攻击伊朗能源设施 2012 05 31 原始内容存档于2016 08 18 U S Israel developed Flame computer virus to slow Iranian nuclear efforts officials say 華盛頓郵報 2012 06 20 2012 06 30 原始内容存档于2021 04 15 華盛頓郵報 美以研發Flame病毒攻擊伊朗 新浪香港 2012 06 20 2012 06 30 原始内容存档于2014 03 09 病毒 火焰 美以網路戰祕密武器 中國時報 2012 06 21 2012 06 21 原始内容存档于2012 07 04 Tsukayama Hayley Flame cyberweapon written using gamer code report says The Washington Post 31 May 2012 31 May 2012 原始内容存档于2020 06 01 Flame Israel rejects link to malware cyber attack BBC News 31 May 2012 3 June 2012 原始内容存档于2021 01 26 未经授权的数字证书可能允许欺骗 2014 03 18 原始内容存档于2014 12 19 Microsoft Security Advisory 2718704 Unauthorized Digital Certificates Could Allow Spoofing 2014 03 18 原始内容存档于2014 03 30 Microsoft releases Security Advisory 2718704 Microsoft 3 June 2012 4 June 2012 原始内容存档于2012 06 07 Sotirov Alexander Stevens Marc Appelbaum Jacob Lenstra Arjen Molnar David Osvik Dag Arne de Weger Benne MD5 Considered Harmful Today 30 December 2008 4 June 2011 原始内容存档于2017 09 20 Stevens Marc CWI Cryptanalist Discovers New Cryptographic Attack Variant in Flame Spy Malware Centrum Wiskunde amp Informatica 7 June 2012 9 June 2012 原始内容存档于2017 02 28 相關條目 编辑震网 信息战 電子作戰 美国国家安全局 奧林匹克網路攻擊行動 英语 Operation Olympic Games 梅林行動 英语 Operation Merlin MD5 取自 https zh wikipedia org w index php title 火焰 恶意软件 amp oldid 66283759, 维基百科,wiki,书籍,书籍,图书馆,

文章

,阅读,下载,免费,免费下载,mp3,视频,mp4,3gp, jpg,jpeg,gif,png,图片,音乐,歌曲,电影,书籍,游戏,游戏。