邁克菲實驗室：Flame病毒的深度分析(1)

面對這一高危病毒，邁克菲實驗室第一時間對該病毒的相關功能和主要特性進行了深度分析和持續研究，以助力業界更好地了解這一威脅并找出應對措施。

根據邁克菲實驗室的分析，Flame病毒是一種模塊化的、可擴展和可更新的，具有廣泛隱蔽性和很強攻擊性的威脅。目前，邁克菲防病毒產品已經可以從感染的系統中檢測到這一威脅并進行清除。通過邁克菲的初期數據顯示，目前這一威脅還存在多種變體。

Flame病毒強大的攻擊能力

以下是邁克菲發現的Flame病毒的部分攻擊能力（實際上，Flame病毒的攻擊能力還遠不止于此）：

◆掃描網絡資源

◆竊取指定信息

◆能夠偵測到100多種安全防護產品（包括反病毒軟件、反間諜軟件和防火墻等）

◆進行屏幕截圖

◆記錄語音通話

◆利用 PE 加密資源

◆像 Stuxnet 和 Duqu 一樣把自己隱藏為名為 ~ 的臨時文件

◆使用已知漏洞，如被Stuxnet利用的Print Spooler 和 lnk漏洞

◆通過 USB 閃存和局域網攻擊新系統（緩慢傳播）

◆使用 SQLite 數據庫存儲收集到的信息

◆使用自定義數據庫來構建攻擊模塊（這很罕見，但顯示了這一惡意軟件的模塊化構造和可擴展性）

◆運行于Windows XP、Windows Vista 和 Windows 7 系統

◆隨 Winlogon.exe 一起加載并注入IE和服務項中

◆復雜的內部功能能夠調用Windows APC、操控線程啟動并對關鍵進程進行代碼注入

◆往往位于臨近的系統上并通過局域網進行總控和發起目標注入攻擊

◆通過 SSH 和 HTTPS 協議與總控服務器通信

◆同時使用內核模式和用戶模式邏輯

總體而言，Flame病毒在一些工作原理上與 Stuxnet 和 Duqu 十分類似，但代碼庫和具體實施上則差別很大，因為Flame病毒更加復雜，攻擊能力更強。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]