注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

非著名兽医王清玉博客

保护动物健康维持事业永恒!(华玉兽药店)

 
 
 

日志

 
 
关于我

我毕业于东北农业大学01届 非著名兽医圈子 欢迎加入 http://q.163.com/yyyyyy/ 邮箱-有事情可以发邮件 xinhuawangqingyu@163.com 我的QQ:443569732 我的口号: 保护动物健康维持事业永恒! 微信号shouyiwangqingyu【兽医王清玉全拼】欢迎关注订阅,交流探讨!

网易考拉推荐

超级火焰是什么病毒?超级火焰病毒特征?专家称暴雷漏洞威胁远超火焰病毒?视频文字大全  

2012-06-18 12:27:38|  分类: 文娱休闲 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

超级火焰是什么病毒?超级火焰病毒特征?专家称暴雷漏洞威胁远超火焰病毒视频文字大全?(大家不要误会这个是计算机病毒不是动物病毒,hehe)

超级火焰是什么病毒?超级火焰病毒特征感染地区  北京时间5月29日消息,据国外媒体报道,俄罗斯

反病毒公司卡巴斯基实验室(以下简称“卡巴斯基”)近日表示,一种名为“Flame”的恶意间谍软件已在

中东和北非部分地区得以大范围传播,该病毒已经或即将造成的巨大危害不可忽视。
  该病毒由卡巴斯基首先发现,并根据该病毒内部代码所含字样,而将其命名为“Flame”。卡巴斯基

称,Flame实际上是一个间谍工具包。至少过去两年中,Flame病毒已感染了伊朗、黎巴嫩、叙利亚、苏丹

、其他中东和北非国家的相应目标计算机系统。
  卡巴斯基称,与曾经攻击伊朗
  核项目计算机系统的Stuxnet病毒的相比,Flame病毒不仅更为智能,且其攻击目标和代码组成也有较

大区别。卡巴斯基认为,Stuxnet和Flame病毒应该不是同一个(或一群)程序员所为。Flame病毒的攻击机

制更为复杂,且攻击目标具有特定地域的地点,这或许表明,Flame病毒的幕后团队很可能由政府机构操

纵。
  一些网络安全专家认为,Flame可能也是系列病毒攻击的组成部分,即主持散布Stuxnet和DuQu病毒的

幕后团队,同时也聘请其他程序员开发了Flame病毒。
  Flame病毒内部主要模块
间谍软件
  卡巴斯基对Flame病毒的初步分析发现,攻击者散布Flame病毒的主要用意是:对被感染机器的用户活

动加以跟踪并盗取相关信息,其中包括文档、谈话录音和用户敲击计算机键盘情况等信息。此外,该病毒

还会在被感染机器上开启后门,以方便攻击者对已安装到被感染机器当中的工具包加以修订,同时为该工

具包增加新功能。
  卡巴斯基认为,Flame是迄今为止所发现攻击机制最为复杂、威胁程度最高的计算机病毒之一。卡巴

斯基首席安全专家亚历山大·戈斯捷夫(Alexander Gostev)表示:“Flame病毒的编写和攻击机制都非常

复杂。”
  戈斯捷夫认为,Flame病毒最早可能于2010年3月就被攻击者放出,但一直没能被其他安全公司发现,

“Flame包含了大量代码。而过去两年中一直没有被安全公司检测到,这种现象相当令人感到奇怪。”戈

斯捷夫还表示,一些线索暗示,Flame出现的最早时间甚至可追溯到2007年。外界认为,Stuxnet和DuQu两

款病毒的创建时间也大概为2007年前后。
  Flame病毒可能的传播方式
特点
  异常复杂
  戈斯捷夫表示,由于Flame病毒体积较大,且编写方式非常复杂,因此可能需花上数年时间,才能完

全了解该病毒的全部情况,“我们分析Stuxnet病毒花了半年时间。而Flame病毒的复杂程度比Stuxnet高

出20倍。要全面了解Flame病毒,我们可能得花上10年时间。”
  卡巴斯基两周前发现了Flame病毒,当时联合国国际电信联盟(ITU)请求卡巴斯基查看一下今年4月的

安全分析报告。今年4月期间,伊朗石油部和伊朗国家石油公司遭到了恶意软件攻击,该软件能够盗取和

删除相关信息。卡巴斯基在调取相关感染文件后发现,该病毒的攻击目标,似乎仅针对中东各国的计算机

系统。
  伊朗计算机紧急情况反应小组周一表示,此前已开发出可检测“Flamer”病毒的工具,这款工具已于

今年5月初发送给特定机构使用,该反应小组同时还开发出可删除“Flamer”病毒的工具。卡巴斯基认为

,伊朗所说的“Flamer”病毒,与卡巴斯基所说的Flame病毒是一回事。
  [2]
  近日,一种新的、高度复杂的恶意软件威胁被几家安全公司和组织的研究人员所确认,这种恶意软件

主要用于以中东为目标的网络间谍攻击中。
  伊朗计算机应急响应组织将这种新的恶意软件称为Flamer,并认为这是最近伊朗数据泄露事件的元凶

。该组织周一表示,有理由相信,这种恶意软件与震网病毒和Duqu病毒威胁相关联。
  病毒研究者对这种病毒也进行了分析并发现,虽然从传播区域和目标看,这种病毒与震网病毒和Duqu

病毒很相似,但从很多方面看,这种病毒比后两者更为复杂。
  这种被称为Flame的病毒是由许多独立模块组成的非常大的攻击工具包。它能执行各种恶意行为,其

中大部分与数据窃取和网络间谍有关。
  相关信息
  除此之外,它还能使用计算机扩音器来录下对话,提取应用程序细节的截屏,探测网络流量,并能与

附近的蓝牙设备进行交流。
  病毒研究专家Vitaly Kamluk表示,该工具包的第一个版本好像在2010年就开始出现,此后在模块化

架构的杠杆作用下进一步扩展。
  Flame比Duqu和震网病毒都大很多。Kamluk说,所有Flame组件加起来能达到20MB,单个文件也有6MB

那么大。
  另一个有意思的方面是,Flame有些部分是用LUA写的,这是一种在恶意软件中非常不常见的程序语言

,LUA经常用在计算机游戏行业中,但在Flame之前,并未见过任何用这种语言写的恶意软件。
  研究者们并未发现被这种恶意软件开发的未知0-day漏洞,但已知的是,Flame已经感染了一台完全打

好补丁的Windows 7电脑,因此,不能完全排除这种可能性。
  当感染被反病毒程序保护的计算机时,Flame会停止进行某种行动或执行恶意代码,因为这可能引起

安全应用程序进行主动检测。Kamluk表示,这是该病毒得以潜藏如此之久的一个原因。
  与Duqu和震网病毒一样,Flame的制造者也不为人所知。然而,这种恶意软件的复杂性和所需资源的

数量让安全专家们都认为,这是由一个民族国家创建或发起的。


超级火焰(Flame\Flamer),又名Skywiper,是截止目前为止被发现的结构最为复杂、最先进的APT(高

级持续攻击)恶意软件。现下,该病毒及其变异样本主要肆虐于中东地区,而同样活跃在中东地区的超级

病毒还有臭名昭著的网络战争武器Stuxnet和Duqu。超级火焰最早的踪迹可以追溯到2010年,但于日前才

被最终识别和确定。超级火焰的主要功能便是收集和偷走目标信息,为了实现这一目标,它能够使出秘密

录音、自动截屏,以及编译周边的蓝牙设备等各种手段。

超级火焰恶意软件的大小约20MB左右,对比那些常见的1MB左右的恶意软件而言,它是一个超级“大个子

”。而它需要如此庞大身躯的主要原因之一就是它嵌入了大量的功能。超级火焰拥有多个模块,如减压库

, SQL数据库和一个LUA虚拟机。目前为止,MS10-046 和 MS10-061是两个已被发现受到该恶意软件利用的

漏洞,在Stuxnet和 Duqu中也是利用同样的漏洞来维持攻击的持久性和保持在受感染网络上的横向移动。

 

Websense安全实验室的高级专家表示:“超级火焰可能是当前已发现的恶意软件中最为先进的一例,它有

能力实现如此长期的潜伏也证明了这点。而它的多模块化和高达20 MB的“体型”也进一步展现了它的复

杂程度。光从体积上而言,它就比一般的恶意软件高出了20-30倍,而且它还集成了一些有趣但不常用的

技术,如使用LUA脚本语言。由于当前被发现的受感染载体并不多,所以它的攻击力还有待进一步确认,

且需要更长时间的研究。但无论如何,Websense安全实验室都在站在观察和解析的第一线,并确保用户不

会受到任何新型攻击侵害。”

火焰木马可能是指《蓝色火焰》,它是一款国产木马,虽然没有《冰河》、《黑洞2001》等木马名气大,

但是我们同样很难发现或清除它。
   
    如果不小心运行了《蓝色火焰》服务端程序“bf_server.exe”,会在C:\WINDOWS\SYSTEM文件夹下

生成三个木马文件“tasksvc.exe”、“sysexpl.exe”、“bfhook.dll”,前两个文件无论大小、图标都

和原木马文件一模一样;最后一个文件bfhook.dll为DLL文件,大小为18K。
   清除方法: 1. 清除注册表中的可疑键值。   在“开始”菜单的“运行”中输入Regedit,打开注

册表编辑器,进入:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,找

到"Network Services"="C:\\WINDOWS\\SYSTEM\\tasksvc.exe",删除串值Network Services及其

键值。   再到这里:HKEY_CLASSES_ROOTtxtfile\shell\open\command和HKEY_LOCAL_MACHINE\

Software\CLASSES\txtfile\shell\open\command之下,将C:\WINDOWS\SYSTEM\sysexpl.exe %1

中的“sysexpl.exe %1”更改为“NOTEPAD.exe %1”。   2. 删除文件。   到C:\WINDOWS\SYSTEM

下,将tasksvc.exe、sysexpl.exe、bfhook.dll这三个文件彻底删除。

======================
超级火焰病毒 病毒名是什么样子的?
是微软病毒库找的:
Worm:Win32/Flame.gen!A
Aliases: Worm.Win32.Flame.a (Kaspersky) , W32.Flamer (Symantec) , W32/Flame-A (Sophos)
Description: Worm:Win32/Flame is a multi-component worm that uses a variety of actions to

perform its malicious payload, which also includes gathering information from your infected

computer.
Published Date: May 30, 2012
Alert level: Severe
按照病毒库的数据,这个蠕虫病毒Win32/Flame.gen!A(最早版本,后来有了Win32/Flame.gen!B、

Win32/Flame.gen!C、...E和dat) 是在2012年5月30发现的,到了5月31号已经有了6个变种。。。问题很

严重啊。。。
真该死!!6月5号微软又拦截到3个变种!!!现在已经九个了!!!变异能力这么强,绝对不是一般黑

客能编写出来的!
======================
专家称暴雷漏洞威胁远超火焰病毒
15日消息,影响全球Windows用户的“暴雷”漏洞引起各方高度关注。国内网络安全专家安扬认为,“暴

雷”漏洞威胁远超日前肆虐中东多国,并引起全球关注的“火焰”(Flame)超级病毒。据悉,目前国内用

户可通过升级360安全卫士到最新版防御“暴雷”漏洞。

无官方补丁是“暴雷”威胁可能加剧的主要原因。据了解,微软13日发布的系列补丁并未正式修复“暴雷

”漏洞,同期发布的临时解决方案又存在导致“微博网页无法打开”的副作用,所以目前用户无法通过官

方驱动完美防御“暴雷”漏洞。

但是,“暴雷”漏洞影响范围极广。据微软安全公告显示,“暴雷”影响全版本Windows、IE浏览器以及

2003/07版Office用户,全球微软用户都面临这一威胁。而相比之下,“火焰”超级病毒目的性较强,中

东以外的国家和普通电脑用户则几乎不会遭遇“火焰”病毒。以中国为例,仅百余台电脑发现“火焰”病

毒残体。

“"暴雷"漏洞相比"火焰"病毒更容易对普通用户造成威胁,基于该漏洞的挂马攻击可能导致用户电脑被监

控,隐私信息被窃取等严重后果。”安全专家安扬表示。

针对这一情况,全球首家截获“暴雷”漏洞的360第一时间为中国用户量身定做了“避雷针”防御方案。

专家表示,在微软正式推出修复补丁前,用户使用360安全卫士是对“暴雷”漏洞最有效的防御方式。

  评论这张
 
阅读(709)| 评论(1)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017