“Flame和Gauss主要与数据和信息被窃取相关。”卡巴斯基实验室高级研究员Roel Schouwenberg表示,“而MiniFlame是一个后门,它为操作者直接提供通向受感染机器的入口。因此,其功能和目标与之前的恶意软件都不同。”“如果说Flame和 Gauss是由大量网络间谍操作,并感染成千上万的用户,那么,SPE/miniFlame就是一个高精度的间谍工具”。MiniFlame能独立作用于一台电脑,也能成为Flame或Gauss的一个模块。
“我们可以设想,这种恶意软件是Flame和 Gauss多轮运作的一个部分。”卡巴斯基专家称,“第一轮,尽可能多地感染他们潜在的感兴趣的机器;第二轮,从中招的机器中搜集数据,以便攻击者从中找到最感兴趣的目标;最后,针对这些选中的目标,像SPE/miniFlame这样的专业间谍工具上场实施监控。”
虽然还没找到通过miniFlame感染计算机的方法,但是专家认为,这种恶意软件会被下载并由Flame或Gauss安装。这是因为大多数被miniFlame感染的计算机过去也被Flame或Gauss感染过。
SPE也可能是Flame的一个分支,或者实际上是通过USB盘上的Gauss分发的未知加密模块。
“Flame自擦除插件不会删除任何SPE文件,” Schouwenberg表示,“它得单独被移除。我们需要将miniFlame视为一个单独的操作。我们想象,作者希望SPE能在Flame被发现后依然不会被注意到。MiniFlame能从指挥和控制(C&C)服务器上下载文件,并上传电脑上的文件到服务器上,加载专门的DLL文件,以特定参数构建程序或对活动窗口进行抓屏。”
卡巴斯基估计,受miniFlame感染机器总数在50~60之间,远远少于Flame(5000~6000)和Gauss(10000)的感染数,它们主要出现在黎巴嫩、巴勒斯坦、伊朗、沙乌地阿拉伯和卡塔尔等国家地区。“随着Flame、Gauss和miniFlame被发现,我们可能只是获悉了中东发生的大量网络间谍活动的表面情况,但是,他们的真实完整目的还很模糊,攻击者和受害者的身份也尚未明确。”
