“火焰”病毒火眼系统分析报告

ljia885

基本信息
文件名称：c9e00c9d94d1a790d5923b050b0bd741
文件哈希：c9e00c9d94d1a790d5923b050b0bd741
文件大小：827392字节
创建时间：2012-05-29 02:00:24
文件类型：DLL
PEID信息：Nothing found *
公司描述：Microsoft Corporation
文件描述：Windows NT Enhanced Processing Service
文件版本：5.1.2600.0
版权所有：© Microsoft Corporation. All rights reserved.
原始文件名：nteps32.ocx
产品名称：Microsoft® Windows® Operating System
产品版本：5.1.2600.0


其他行为监控
行为描述：检测是否存在指定注册表键
附加信息：
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab
行为描述：查找文件
附加信息：
"%_WINDIR%system32\nteps32.ocx"
"%system%\kernel32.dll"
"%system%\nteps32.ocx"
行为描述：疑似查找杀软进程
附加信息：
AUTHFW.EXE [Authentium Firewal]
AVGRSSVC.EXE [AVG相关进程]
AVP.EXE [卡巴斯基进程]
FSSM32.EXE [f-secure相关进程]
KAV.EXE [卡巴相关进程]
MPSVC.EXE [微点相关进程]
NVCSCHED.EXE [Norman相关进程]

文件操作监控
操作        文件MD5                                               文件大小        文件路径
新增        e260c8f70c4d12c59b057a9fbfe60669        189                 %windir%\Temp\~HLV084.tmp

源地址  http://t.cn/zOdBsAB

ljia885

由金山官方人员提供的火眼分析报告

https://fireeye.ijinshan.com/ana ... 1c6a0d69bdc4e66c1a5

https://fireeye.ijinshan.com/ana ... 1c6a0d69bdc4e66c1a5

https://fireeye.ijinshan.com/ana ... 5f18ba021c34e486746

由金山官方人员提供的火眼分析报告


基本信息
文件名称：bb5441af1e1741fca600e9c433cb1550
文件哈希：bb5441af1e1741fca600e9c433cb1550
文件大小：643072字节
创建时间：2012-05-29 02:00:19
文件类型：DLL
PEID信息：Nothing found *
公司描述：Microsoft Corporation
文件描述：Advanced Network Configuration
文件版本：5.1.2600.0
版权所有：© Microsoft Corporation. All rights reserved.
原始文件名：advnetcfg.ocx
产品名称：Microsoft® Windows® Operating System
产品版本：5.1.2600.0

其他行为监控
行为描述：查找文件
附加信息：
"%system%\advnetcfg.ocx"
行为描述：疑似查找杀软进程
附加信息：
AUTHFW.EXE [Authentium Firewal]
AVP.EXE [卡巴斯基进程]
FSSM32.EXE [f-secure相关进程]
NVCSCHED.EXE [Norman相关进程]

火眼 源地址http://t.cn/zOdBsJP

ljia885

联合国发出警告称，在中东发现的“火焰”病毒是“最强大”的间谍工具。
这个间谍工具尚未对中国造成危害，毒霸捕获了部分样本，
火眼系统分析报告如下：http://t.cn/zOdBsAB，http://t.cn/zOdBsJP


　简介

  　　2012年5月，俄罗斯安全专家发现一种威力强大的电脑病毒“火焰”(Flame)在中东地区大范围传播。俄罗斯电脑病毒防控机构卡巴斯基称，这种新病毒可能是“某个国家专门开发的网络战武器”。“火焰”病毒最早可能于2010年3月就被攻击者放出，但一直没能被其他网络安全公司发现。“火焰”病毒出现的最早时间甚至可追溯到2007年。
　　除卡巴斯基外，匈牙利的两家反电脑病毒实验室和伊朗反电脑病毒机构也发现了上述全新的蠕虫病毒。
　　“火焰”设计极为复杂，能够避过100种防毒软件。感染该病毒的电脑将自动分析自己的网络流量规律，自动录音，记录用户密码和键盘敲击规律，将用户浏览网页、通讯通话、账号密码以至键盘输入等纪录及其他重要文件发送给远程操控病毒的服务器。
　　火焰病毒被认为是迄今为止发现的最大规模的和最为复杂的网络攻击病毒。
编辑本段
特点

　　“火焰”病毒构造复杂，此前从未有病毒能达到其水平，是一种全新的网络间谍装备。该病毒可以通过USB存储器以及网络复制和传播，并能接受来自世界各地多个服务器的指令。感染“火焰”病毒的电脑将自动分析自己的网络流量规律，自动录音，记录用户密码和键盘敲击规律，并将结果和其他重要文件发送给远程操控病毒的服务器。
　　一旦完成搜集数据任务，这些病毒还可自行毁灭，不留踪迹。
　　从现有规律看，这种病毒的攻击活动不具规律性，个人电脑、教育机构、各类民间组织和国家机关都曾被其光顾过。
　　电子邮件、文件、消息、内部讨论等等都是其搜集的对象。
编辑本段
攻击范围

　　卡巴斯基实验室公布统计数字，确认新型电脑病毒“火焰”入侵中东地区。
　　遭受该毒感染的国家包括伊朗（189个目标遭袭），以色列和巴勒斯坦(98个目标遭袭)，苏丹 (32个目标遭袭)，叙利亚 (30 个目标遭袭)，黎巴嫩 (18 个目标遭袭)，沙特阿拉伯(10个目标遭袭)和埃及 (5个目标遭袭)。
编辑本段
开发者

　　由于破解病毒需要一定时间，截至2012年5月28日，还未查出源头。
　　杀毒软件厂商卡巴斯基指出，有证据显示，开发“火焰”病毒的国家可能与开发2010年攻击伊朗核项目的蠕虫病毒的国家相同。但是，他们尚未确定该病毒是否像攻击伊朗核项目的蠕虫病毒那样拥有特殊任务，并拒绝说出他们认为是谁开发了该病毒。2010年，伊朗离心机遭受计算机蠕虫入侵，使伊朗核计划遭受挫折。伊朗曾指责美国和以色列释放了这些蠕虫病毒。
　　伊朗外交部发言人指责是以色列制造“火焰”病毒，又说这些网络攻击手段，不会成功。
编辑本段
关联病毒

　　与曾经攻击伊朗核项目计算机系统的“震网病毒”相比，“火焰”病毒不仅更为智能，且其攻击目标和代码组成也有较大区别。“火焰”病毒的攻击机制更为复杂，且攻击目标具有特定地域的地点。
　　“火焰”病毒最早可能于2010年3月就被攻击者放出，但一直没能被其他网络安全公司发现。“火焰”病毒出现的最早时间甚至可追溯到2007年。“震网”和“毒区”两款病毒的创建时间也大概为2007年前后。
　　“火焰”病毒部分特征与先前发现的“震网”和“毒区”两款病毒类似，显示三种病毒可能“同宗”。网络分析专家认为，已形成“网络战”攻击群。“震网”病毒攻击的是伊朗核设施，“毒区”病毒攻击的是伊朗工业控制系统数据，而“火焰”病毒攻击的则是伊朗石油部门的商业情报。




国际在线专稿：据英国《每日电讯报》5月29日报道，俄罗斯网络安全公司卡巴斯基实验室（Kaspersky Lab）公布数据显示，“火焰”电脑病毒已经在中东多国爆发，其主要目的就是收集情报。

　　卡巴斯基实验室数据显示，伊朗已经发生189起“火焰”病毒感染事件，约旦河西岸发生98起，苏丹发生32起，叙利亚发生30起，黎巴嫩、沙特以及埃及都有计算机系统被感染的记录。

　　与中断伊朗系统的“震网”病毒不同，“火焰”并不不会中断终端系统，其目的就是收集情报。它就像蠕虫病毒，从一台电脑跳到另一台电脑上，很难确定哪些数据被其复制。卡巴斯基实验室在其网站上称：“这种新发现病毒的复杂性和功能超过现在所有已知网络病毒。”

　　伊朗目前还没有公布“火焰”病毒造成的损失，这种病毒的源头还不清楚，但以色列成为主要怀疑对象，因为其以新技术和无休止袭击伊朗可疑核计划闻名。此外，以色列副总理摩西·亚阿隆（Moshe Yaalon）的评论也增加了这种可能，他说：“无论谁视伊朗威胁为重要威胁，都可能采取各方面行动，包括那些束缚伊朗的行动。”

ljia885

管家解读：
        Flame（火舌）又名Skywiper，非常复杂的恶意软件用于信息收集和间谍活动。

1 Flame病毒传播      

   （1）无差别攻击，也就是说不管是公司还是个人都有可能成为它们的目标
   （2）主要攻击区域，目前主要感染中东和北非国家，国内暂未发现该攻击
   （3）中毒后传播主要通过U盘等移动设备和局域网，可能还会通过钓鱼邮件和网络下载传播

2 Flame病毒危害
    （1）跟踪并记录用户操作过程并盗取相关数据，比如电脑中的文档，语音聊天内容，用户键盘输入内容，电脑屏幕截图
    （2）高扩展性，攻击者可以用多达20个可用插件随时增加新功能来更彻底的控制中毒者电脑（比如监控用户摄像头并拍摄视频）

3  Flame病毒八卦
     （1） Flame最早出现可能是2007年（和duqu，Stuxnet 差不多时候），也就是说隐藏了五年才被安全厂商发现
     （2） Flame病毒的幕后团队很可能由政府机构操纵（有人猜测是西方情报组织或军方）
     （3） Flame是迄今为止所发现攻击机制最为复杂、威胁程度最高的计算机病毒之一
     （4） Flame比Stuxnet（超级工厂病毒）复杂20倍，而Stuxnet安全厂商花费了6个月来详细了解它，按照这个规律Flame需要10年才知道这厮想干啥
             赛门铁克：如果 Stuxnet（超级工厂病毒）可以成为网络第一武器的话，  Flame可谓是网络第一核武器 T_T


腾讯科技讯（中涛）
    北京时间5月29日消息，据国外媒体报道，俄罗斯反病毒公司卡巴斯基实验室(以下简称“卡巴斯基”)近日表示，一种名为“Flame”的恶意间谍软件已在中东和北非部分地区得以大范围传播，该病毒已经或即将造成的巨大危害不可忽视。

    该病毒由卡巴斯基首先发现，并根据该病毒内部代码所含字样，而将其命名为“Flame”。卡巴斯基称，Flame实际上是一个间谍工具包。至少过去两年中，Flame病毒已感染了伊朗、黎巴嫩、叙利亚、苏丹、其他中东和北非国家的相应目标计算机系统。


    卡巴斯基称，与曾经攻击伊朗核项目计算机系统的Stuxnet病毒的相比，Flame病毒不仅更为智能，且其攻击目标和代码组成也有较大区别。卡巴斯基认为，Stuxnet和Flame病毒应该不是同一个(或一群)程序员所为。Flame病毒的攻击机制更为复杂，且攻击目标具有特定地域的地点，这或许表明，Flame病毒的幕后团队很可能由政府机构操纵。

    一些网络安全专家认为，Flame可能也是系列病毒攻击的组成部分，即主持散布Stuxnet和DuQu病毒的幕后团队，同时也聘请其他程序员开发了Flame病毒。

    卡巴斯基联合创始人兼CEO尤金·卡巴斯基(Eugene Kaspersky)在一份声明中表示：“Stuxnet和DuQu病毒属于一系列攻击的组成部分，并引起了全球安全人士的警惕。Flame病毒的发现，意味着互联网安全大战进入到新阶段。我们必须明白，诸如Flame等病毒，能够被轻松用来攻击任何国家。”
                                                                                                         
                                                                                                                    

Flame病毒内部主要模块（腾讯科技配图）
间谍软件


       卡巴斯基对Flame病毒的初步分析发现，攻击者散布Flame病毒的主要用意是：对被感染机器的用户活动加以跟踪并盗取相关信息，其中包括文档、谈话录音和用户敲击计算机键盘情况等信息。此外，该病毒还会在被感染机器上开启后门，以方便攻击者对已安装到被感染机器当中的工具包加以修订，同时为该工具包增加新功能。

      卡巴斯基认为，Flame是迄今为止所发现攻击机制最为复杂、威胁程度最高的计算机病毒之一。卡巴斯基首席安全专家亚历山大·戈斯捷夫(Alexander Gostev)表示：“Flame病毒的编写和攻击机制都非常复杂。”


      戈斯捷夫认为，Flame病毒最早可能于2010年3月就被攻击者放出，但一直没能被其他安全公司发现，“Flame包含了大量代码。而过去两年中一直没有被安全公司检测到，这种现象相当令人感到奇怪。”戈斯捷夫还表示，一些线索暗示，Flame出现的最早时间甚至可追溯到2007年。外界认为，Stuxnet和DuQu两款病毒的创建时间也大概为2007年前后。


                                                                                                               

Flame病毒可能的传播方式（腾讯科技配图）


异常复杂


      戈斯捷夫表示，由于Flame病毒体积较大，且编写方式非常复杂，因此可能需花上数年时间，才能完全了解该病毒的全部情况，“我们分析Stuxnet病毒花了半年时间。而Flame病毒的复杂程度比Stuxnet高出20倍。要全面了解Flame病毒，我们可能得花上10年时间。”

     卡巴斯基两周前发现了Flame病毒，当时联合国国际电信联盟(ITU)请求卡巴斯基查看一下今年4月的安全分析报告。今年4月期间，伊朗石油部和伊朗国家石油公司遭到了恶意软件攻击，该软件能够盗取和删除相关信息。卡巴斯基在调取相关感染文件后发现，该病毒的攻击目标，似乎仅针对中东各国的计算机系统。

     伊朗计算机紧急情况反应小组周一表示，此前已开发出可检测“Flamer”病毒的工具，这款工具已于今年5月初发送给特定机构使用，该反应小组同时还开发出可删除“Flamer”病毒的工具。卡巴斯基认为，伊朗所说的“Flamer”病毒，与卡巴斯基所说的Flame病毒是一回事。

下页:_儁。

顶下   介绍的很详细啊  了解了  据说几年前铁壳就捕获了火焰样本，但是一直没报 我估计是畏于政治势力吧

qwe12301

这个样本好牛逼啊

tsingtao

卡巴可以查杀吗？

xzhlksh

面对大玩意，还是卡巴更专业

EAGLE-16號

下页:_儁。 发表于 2012-5-30 22:29
顶下   介绍的很详细啊  了解了  据说几年前铁壳就捕获了火焰样本，但是一直没报 我估计是畏于政治势力吧

很明显你已经指出元凶了

guobao13

下页:_儁。 发表于 2012-5-30 22:29
顶下   介绍的很详细啊  了解了  据说几年前铁壳就捕获了火焰样本，但是一直没报 我估计是畏于政治势力吧

真的吗？当我在资讯区看到这个帖子的时候，我第一反应就是诺顿会不会报，因为我自己就是用的nis，而且诺顿和卡巴的国籍好像不是属于同一派别啊。看来诺顿真的要为政府服务，万一将来我们两个国家打起来了，诺顿利用自己的云系统收集情报也不是没有可能的吧