5月28日消息，卡巴斯基實(shí)驗(yàn)室此前宣布發(fā)現(xiàn)一種高度復(fù)雜的惡意程序——Flame(火焰)，該惡意程序被用作網(wǎng)絡(luò)武器，已在幾個(gè)國家中發(fā)起攻擊。卡巴斯基實(shí)驗(yàn)室的專家在參與由國際電聯(lián)(ITU)發(fā)起的一項(xiàng)研究調(diào)查中發(fā)現(xiàn)的Flame，該惡意程序是目前為止最大和最復(fù)雜網(wǎng)絡(luò)攻擊工具。

　　而隨著卡巴斯基實(shí)驗(yàn)室對Flame病毒的深入分析，證實(shí)該程序目前被用來從事網(wǎng)絡(luò)間諜活動(dòng)，除了感染計(jì)算機(jī)，還能盜取數(shù)據(jù)和敏感信息，被盜的數(shù)據(jù)隨后會(huì)發(fā)送至Flame的指令與控制(C&C)服務(wù)器。目前，卡巴斯基實(shí)驗(yàn)室正在密切監(jiān)測Flame的指令與控制中心架構(gòu)，并無私地將現(xiàn)有研究成功公諸于眾，共享國內(nèi)外的關(guān)注人群及研究人員。

　　據(jù)悉，卡巴斯基實(shí)驗(yàn)室通過GoDaddy與OpenDNS的合作，成功的找出了大部分Flame指令與控制中心利用的惡意域名，并獲得了如下分析結(jié)果：

　　●Flame的指令與控制中心已運(yùn)行了很多年，直到上周卡巴斯基實(shí)驗(yàn)室宣布發(fā)現(xiàn)了此惡意程序，該中心立刻停止了運(yùn)行。

　　●目前，F(xiàn)lame的指令與控制服務(wù)器使用的相關(guān)已知域名已經(jīng)超過80個(gè)，這些域名都是在2008 年和2012年之間注冊的。 在過去的四年間，F(xiàn)lame的指令與控制服務(wù)器主機(jī)先后更換了多次位置，涉及區(qū)域包括香港、土耳其、德國、波蘭、馬來西亞、拉脫維亞、英國和瑞士。

　　●Flame的指令與控制中心域名是由一大批虛假的身份信息來注冊的，從2008年以來的注冊人員信息可謂五花八門。

　　●從卡巴斯基實(shí)驗(yàn)室的分析來看，受到感染的計(jì)算機(jī)用戶信息被多次在不同區(qū)域被注冊，包括中東、歐洲、北美和亞太地區(qū)。

　　●除了PDF和文本文件，F(xiàn)lame幕后的攻擊者看上去還對AutoCad繪圖軟件有極大的興趣。

　　●上傳到Flame指令與控制中心的數(shù)據(jù)使用相對簡單的運(yùn)算規(guī)則進(jìn)行加密，而被盜的文檔使用開源的Zlib和修改的PPDM壓縮程序進(jìn)行壓縮。

　　●卡巴斯基實(shí)驗(yàn)室之前推薦使用Windows 7(64位)來防護(hù)其它惡意軟件，現(xiàn)在看來也是防護(hù)Flame的有效方案。

　　在過去的一周內(nèi)，卡巴斯基實(shí)驗(yàn)室已經(jīng)聯(lián)系了多個(gè)國家的計(jì)算機(jī)病毒應(yīng)急處理機(jī)構(gòu)，并通報(bào)有關(guān)Flame指令與控制中心的域名信息和惡意服務(wù)器的IP地址信息。

　　推薦閱讀

　　圖文：英特爾軟件與服務(wù)事業(yè)部中國區(qū)總經(jīng)理何京翔

6月15日上午消息，第十屆中國國際軟件和信息服務(wù)交易會(huì)今天在大連世界博覽廣場開幕。本屆軟交會(huì)為期四天，主題為“創(chuàng)新驅(qū)動(dòng)增長，融合深化應(yīng)用——騰‘云’駕‘物’，智能互聯(lián)”。新浪科技作為獨(dú)家網(wǎng)絡(luò)戰(zhàn)略合作伙伴視>>>詳細(xì)閱讀

本文標(biāo)題：卡巴斯基專家揭示Flame指令與控制中心架構(gòu)

地址：http://m.sdlzkt.com/a/22/20120615/68628.html

 1/2    1  2 下一頁