史上最複雜電腦蠕蟲病毒

一、讖曰

大東：小白，記不記得我們之前說過的蠕蟲病毒？

小白：記得記得，蠕蟲病毒通過網絡進行複製和傳播，主要傳染途徑是通過網絡和電子郵件對吧~

大東：記得不錯嘛！不過隨著社會的發展，不僅科技在進步，電腦病毒也在進步。今天給你講的就是一個超級進階版的蠕蟲病毒！

小白：超級進階版？光聽這個就覺得好厲害啊！

大東：它的真名是Worm.Win32.Flame，簡稱為火焰病毒。

小白：東哥，快給我講講吧！我都有點迫不及待了。

二、Flame病毒

大東：Flame病毒的全名為Worm.Win32.Flame，於2012年5月被發現，它是一種後門程序和木馬病毒，同時又具有蠕蟲病毒的特點。只要其背後的操控者發出指令，它就能在網絡、移動設備中進行自我複製。

小白：一旦電腦系統被感染，病毒將開始怎樣的行動呢？

大東：包括監測網絡流量、獲取截屏畫面、記錄音頻對話、截獲鍵盤輸入等。被感染系統中所有的數據都能通過鏈接傳到病毒指定的伺服器，讓操控者一目了然。

小白：完全被監控了。

大東：Flame病毒是一種高度複雜的惡意程序，常被用作網絡武器並已經攻擊了多個國家。

卡巴斯基截獲的Flame病毒

小白：Flame病毒有哪些傳播途徑呢？

大東：物理接觸，像另一種工業病毒Stuxnet使用的一個非著名的LNK漏洞，在Flame的代碼中也被發現了。一些人會攜帶USB插入受害用戶的PC中。在Stuxnet剛被發現的時候這個LNK漏洞是一個未公布的0day，但是現在被修複了。目前為止，沒有發現Flame使用任何0day漏洞。

小白：還有呢？

大東：遠程感染，在這種情況可能是一個惡意鏈接或者通過郵件附件。如果Flame的作者們嘗試遠程將Flame病毒上傳到用戶PC中，可能會被類似Trustwave Secur Web Gateway等安全防護軟體攔截下來，因為它沒有一個合適的數字簽名。

小白：Flame病毒的攻擊目標有哪些呢？

大東：Flame病毒雖然是在2012年才被發現的，但很多專家認為它可能已經潛伏很久了，包括伊朗、以色列等許多國家的成千上萬台電腦都已感染了這種病毒。而且這種病毒的攻擊活動不具規律性，個人電腦、教育機構、各類民間組織和國家機關都曾被其光顧過。

小白：看來它是不挑攻擊對象。

大東：Flame 病毒開始主要集中攻擊中東地區，包括伊朗 189 例、以色列和巴勒斯坦 98 例，以及敘利亞、黎巴嫩、沙特等國家，目的為用於網絡戰爭。

Flame病毒分布圖

小白：沒有硝煙的戰爭。

三、史上最危險的病毒

大東：Flame 被包括世界電信聯盟等官方以及卡巴斯基等國際權威廠商認定為迄今為止最複雜、最危險、最致命的病毒威脅。

小白：Flame病毒這麽厲害嗎？值得被冠以“最複雜、最危險”“最厲害”甚至“設計最巧妙”“最隱密”“最致命”等眾多稱號？

大東：Flame 病毒用上了5種不同的加密算法，3種不同的壓縮技術，和至少5種不同的文件格式，包括其專有的格式，並將它感染的系統信息以高度結構化的格式存儲在SQLite等數據庫中，病毒文件達到20MB之巨（代碼列印出來的紙張長度達到2400米）。此外，還使用了遊戲開發用的Lua腳本語言編寫，使得結構更加複雜。

小白：真的是可謂“最複雜”。

大東：據悉Flame病毒出現的最早時間可追溯到2007年，並推測可能於2010年3月就被攻擊者放出（攻擊伊朗石油部門的商業情報），但由於其結構的複雜性和攻擊目標具有選擇性，安全軟體一直未能發現它。目前一致看法是Flame病毒可能已經以某種形式活躍了長達5至8年的時間，甚至還可能更久，這種高潛伏性很是危險。此外，一旦完成搜集數據任務，這些病毒還可自行毀滅，這也是其能夠長期潛伏的原因之一。

小白：還能自行毀滅，難怪不容易被察覺。

大東：一旦感染 Flame 病毒並激活組件後，它會運用包括鍵盤、螢幕、麥克風、移動存儲設備、網絡、WIFI、藍牙、USB和系統進程在內的所有的可能的條件去收集信息，然後將用戶瀏覽網頁、通訊通話、账號密碼以至鍵盤輸入等紀錄，甚至利用藍牙功能竊取與被感染電腦相連的智能手機、平板電腦中的文件發送給遠程操控病毒的伺服器。此外，即便與伺服器的聯繫被切斷，攻擊者依然可通過藍牙信號對被感染計算機進行近距離控制。

小白：從功能角度是非常強大的，可以稱之為偷盜技術全能，覆蓋了用戶使用電腦的所有輸入輸出的接口。

大東：沒錯。

四、防範措施

小白：這麽強大的Flame病毒到底應該怎麽防範呢？

大東：不用擔心。殺毒軟體給我們提供了 “超級火焰”專題的殺毒工具，只需輕輕點擊，火焰病毒就消失的無影無蹤啦！

小白：還有其他的方法嗎？

大東：當然有。火焰病毒利用的是微軟漏洞，所以及時安裝官方提供的補丁也是十分重要的。

小白：那怎麽看我是否已經感染了火焰病毒呢？

大東：首先搜索電腦中是否存在“~DEB93D.tmp”文件。如存在則有可能感染了Flame病毒。然後檢查注冊表“HKLM_SYSTEM\CurrentControlSet\Control\Lsa\ Authentication Packages”，如發現mssecmgr.ocx或authpack.ocx，則說明電腦已被感染。

小白：只要電腦裡沒有這些文件是不是就可以確定我的電腦沒有被感染呢？

大東：檢查以下目錄是否存在。如存在則說明電腦已被感染：

C:\Program Files\CommonFiles\MicrosoftShared\MSSecurityMgr

C:\Program Files\Common Files\Microsoft Shared\MSAudio

C:\Program Files\Common Files\Microsoft Shared\MSAuthCtrl

C:\Program Files\Common Files\Microsoft Shared\MSAPackages

C:\Program Files\Common Files\Microsoft Shared\MSSndMix

小白：這回總該完事了吧！

大東：你這個急性子，還有最後一步沒說呢！如果在 %windir%\system32\目錄下發現以下任一文件，也能說明電腦可能被感染：mssecmgr.ocx、advnetcfg.ocx、msglu32.ocx、nteps32.ocx、soapr32.ocx、ccalc32.sys、boot32drv.sys

小白：總算完事了！不過，現在的病毒無孔不入，確實應該一步一步慢慢地檢查上述的每一個文件夾是否存在，以防它的入侵。

大東：小白啊，你終於懂得這些道理了。

來源：中國科學院計算技術研究所