在中东数千台机器上发现“火焰”网络间谍蠕虫

联合国国际电信联盟和卡巴斯基实验室今天透露，他们发现了一种新的特洛伊木马Flame，可以与Stuxnet抗衡。“代号”蠕虫.Win32该恶意软件目前正在研究中，被称为“迄今发现的最复杂的威胁之一”。据信，该软件在中东的数千台计算机上都很活跃，主要分布在伊朗和以色列，以及北非的一些机器上。...

联合国国际电信联盟和卡巴斯基实验室今天透露，他们发现了一种新的特洛伊木马Flame，可以与Stuxnet抗衡。“代号”蠕虫.Win32该恶意软件目前正在研究中，被称为“迄今发现的最复杂的威胁之一”。据信，该软件在中东的数千台计算机上都很活跃，主要分布在伊朗和以色列，以及北非的一些机器上。

研究人员认为，该木马的主要功能是网络间谍：一旦Flame感染电脑，它就可以通过连接或内置的麦克风录制音频，监视附近的蓝牙设备，截图，保存文档和电子邮件中的数据。所有这些数据，显然是作为目标攻击的一部分被盗的，不断地被发送到指挥和控制服务器。

火焰“与Stuxnet”或其恶意软件家族成员Duqu没有重大相似之处，据信是由一个单独的群体创建和控制的。然而，新发现的蠕虫确实与Stuxnet和Duqu有一些共同之处。最令人失望的是，火焰利用了同一个打印机的假脱机孔和自动运行.infStuxnet开发的感染方法。根据卡巴斯基实验室的报告，相信火焰最初是由遭受钓鱼攻击的用户感染的，一旦它进入计算机，它就可以通过局域网或USB闪存驱动器与其他机器一起传播。坏消息是，已经证实蠕虫已经在局域网上蔓延到完全修补的Windows7系统，但好消息是，你不必担心火焰以当前的形式闯入你的电脑。作为网络间谍工具，特洛伊木马被视为针对一些个人，也有教育和**组织主要在中东地区。此外，研究还说蠕虫会调查一个系统，然后从它认为不有趣的机器上卸载自己。

那么，为什么火焰被认为是如此复杂的威胁呢？好吧，恶意软件本身可以高达20MB——大约是Stuxnet的20倍。这种尺寸是火焰独特的一部分。根据卡巴斯基的说法，大多数恶意软件都是尽可能简单和小的，因为这使得隐藏恶意代码并将其放到毫无戒备的机器上变得更容易。然而，在这种情况下，火焰的大小使得很难检测到，因为没有人在寻找它。火焰之所以如此大的部分原因是因为它有可选的插件，可以在机器感染后添加以尝试获取特定数据。不同的机器上有不同种类的插件；20MB最大大小包括所有20个已发现的不同插件。不幸的是，这种巨大的尺寸将使研究人员很难掌握火焰：卡巴斯基说，由于要理解斯图克斯500千B代码需要“几个月”，预计火焰可能需要一年的努力。