震网病毒与火焰病毒间的隐秘关联

2012年5月,卡巴斯基率先宣布发现攻击伊朗、以色列等多个中东国家的恶意程序,并将其命名为Flame(火焰),于是Flame一举成为政治和互联网中的最热名词。

近日,始终领导该病毒研究的卡巴斯基又有创新发现——曾经席卷全球的Stuxnet(震网)病毒及Duqu病毒,同Flame(火焰)病毒有着深层次的关联。另据卡巴斯基的研究显示,Stuxnet被创建时(2009年1月-6月),Flame平台早已经存在(目前,卡巴斯基判定其创建时间不晚于2008年夏季),并且已经具备模块化结构。

随着研究的深入,卡巴斯基实验室的专家们发现,以上恶意程序的团队至少在开发的早期阶段曾经合作过——“资源207”(Resource 207)是证实这个观点的铁证。根据卡巴斯基提供的研究数据显示,Stuxnet与Duqu使用了同一个攻击平台——“Tilded平台”。该平台因其开发者对“~d*.*”文件名格式的偏爱,故此得名。初看上去,Flame从特征分析上跟前面两个恶意程序完全不同,例如该恶意程序的大小,对LUA编程语言的使用以及其多样化的功能等。然而,新的分析结果的出现却大大改写了Stuxnet的历史。Stuxnet最早的已知版本是在2009年6月被创建的,其中包含一种特殊的模块,被称为“资源207”(Resource 207),在随后的Stuxnet 2010版本中,该模块被完全移除。“资源207”模块是一个加密的DLL文件,其中包含有一个大小为351,768字节的可执行文件,名字为“atmpsvcn.ocx”。经过卡巴斯基实验室的调查发现,这个特别的文件与Flame中使用的代码有很多共同点,包括对互斥对象的命名,解密字符串时所用的算法,以及对文件命名的相似方法。

此外,在Stuxnet和Duqu各自的模块中都有很多相同或类似的代码。因此,可以得出这样的结论,Flame与Duqu/Stuxnet幕后开发团队有过交流,并且是以源代码的形式(而非二进制的形式)。Stuxnet的“资源207”模块的主要功能是从一台计算机感染感染另一台计算机,传播的介质是USB存储设备,并利用了Windows内核中的漏洞提升权限。这种利用USB存储设备传播恶意程序的代码与Flame中使用的代码一致。

卡巴斯基实验室首席安全专家Alexander Gostev表示:“Flame与Tilded是完全不同的平台,但都用来开发各种各样的网络武器。它们有着各自不同的架构和感染系统,且执行主要任务的方式也不同。因此这两个平台的研发项目应该是彼此独立的。然而,新的发现表明它们的幕后团队在早期的开发中,曾经共享过至少一个模块的源代码,进一步证明他们至少有一次团队合作。”

关于Flame(火焰)病毒

Flame是迄今发现为止程序最大的网络武器,其设计结构让其几乎不能被追查到——一般的恶意程序都设计得比较小以此方便隐藏,但Flame程序庞大却能隐藏得难以被发现。Flame通过复杂先进的技术感染计算机,而这些技术仅在之前的网络武器Stuxnet中被用到。尽管Flame早在2010年3月就开始活动,但直到卡巴斯基实验室发现之前,没有任何的安全软件将其检测到。

关于Stuxnet(震网)病毒

Stuxnet是首个将目标锁定在工业设施上的网络武器,在2010年6月被发现时,Stuxnet还感染普通的计算机。其实,Stuxnet最早的已知版本早在一年之前就已创建。另外一个网络武器,也就是众所周知的Duqu,于2011年9月被发现。与Stuxnet不同,Duqu木马在受感染系统中的主要是用作后门,从而盗取机密信息(网络间谍活动)。

关于Duqu病毒

Duqu是一种复杂的木马,最早于2011年9月被发现,其主要功能是充当系统后门,窃取隐私,它的编写者也创造了臭名昭著的Stuxnet蠕虫。