2012年5月27日,“火焰”病毒(Flame)被发现,这款恶意软件是一种复杂的网络间谍工具,主要攻击目标为中东地区的Windows计算机。几个小时后,已经运行多年的Flame命令与控制基础设施被关闭。但事情并没有结束,“火焰”病毒带来危害与影响已溢出了中东,扩散至欧洲、亚洲,甚至是全球。
在后的一周时间内,卡巴斯基实验室一直在密切监控“火焰”(Flame)的命令与控制基础设施。并成功破解了Flame命令控制中心所采用的大多数恶意域名,获取到大量一手情报,也逐步揭开了“火焰”的神秘面纱。
卡巴斯基安全网络(KSN)的统计数据,较为准确地反映Flame恶意软件真实的感染和传播分布情况。数据显示,虽然“火焰”攻击的目标主要集中在中东地区,但由于部分受害用户可能使用了VPN/代理服务,所以“火焰”病毒的传播已经蔓延到全球其它地区。
大多数被“火焰”感染的计算机运行的操作系统是Windows 7 32位,其次是Windows XP。卡巴斯基实验室的反病毒专家指出,“火焰”恶意程序中的模块“Gadget”(小伎俩)和模块“Munch”(咀嚼)能够对网络中其它计算机发起是一种“中间人”攻击。当计算机试图连接微软Windows更新时,它们将链接进行重定向,并向客户端发送一个假冒的恶意Windows更新链接,从而使计算机受到感染。
目前卡巴斯基实验室已发现约80个域名属于“火焰”病毒的指令与控制基础设施。其指令与控制服务器所使用的域名均是使用虚假的身份注册,并且通过多个注册商注册。最早的注册时间可以追溯到2008年。另外,“火焰”病毒的操纵者似乎对PDF 文档、Office文档和AutoCad绘图文件情有独钟。
面对“火焰”这个史上最复杂、危害最大的病毒程序,卡巴斯基实验室的安全专家建议广大网友,应及时下载安装Windows更新程序,修复系统漏洞,避免病毒通过漏洞实施攻击。同时安装卡巴斯基安全部队2012,彻底检测和查杀“火焰”病毒。