“火焰病毒”.pptVIP

火焰病毒来袭 你准备好了吗 火焰病毒来袭 你准备好了吗 通缉令 关于我 关于我 我很强大——总述 我从哪里来啊——开发者 我的秘密——构成与特点 我的小伙伴们——关联病毒 我要挂了——病毒防范 我是火焰病毒，我为自己代言 我很强大 我是一种后门程序和木马病毒，同时又具有蠕虫病毒的特点。只要我背后的操控者发出指令，就能在网络、移动设备中进行自我复制。一旦电脑系统被感染，我将开始一系列复杂的行动，包括监测网络流量、获取截屏画面、记录音频对话、截获键盘输入等。被感染系统中所有的数据都能通过链接传到我指定的服务器，让操控我的人一目了然。 由于破解病毒需要一定时间，截至2012年7月1日，还未查出源头。 我从哪里来啊 杀毒软件厂商卡巴斯基指出，有证据显示，开发“火焰”病毒的国家可能与开发2010年攻击伊朗核项目的蠕虫病毒的国家相同。但是，他们尚未确定该病毒是否像攻击伊朗核项目的蠕虫病毒那样拥有特殊任务，并拒绝说出他们认为是谁开发了该病毒。。 前车之鉴 以色列 伊朗外交部发言人指责是以色列制造“火焰”病毒，又说这些网络攻击手段，不会成功。 伊朗方面于2012年4月时，称该病毒被其创造者命名为Wiper[4]。而卡巴斯基则说它和Wiper没有什么关系。尽管以色列副部长摩西的某段讲话似乎暗示了以色列是始作俑者，但目前以色列在受害数量上仅次于伊朗的189起，为89起。 报道声称该恶意软件由美国国家安全局和以色列合作研发。类似震网病毒，可能都在 Olympic Games计划下开发出来。印度时报报道，目前有80家来自亚洲、欧洲和北美的服务器在操作这种病毒。美国和以色列都正式否认与此病毒有关。 美以合作 我的“父母” 我的秘密 职业分析 该恶意软件中包含了一个伪造的数字签名。被伪造签名的主体是Microsoft Enforced Licensing Intermediate PCA数字证书认证机构。由于微软在终端服务授权服务证书中，错误地启用了代码签名功能，并且尽管早在2008年便有人成功地伪造了使用MD5作为签名算法的数字证书，这一证书却依旧在使用MD5作为签名算法。这使得伪造该证书变得比较容易。此恶意软件的开发者成功地通过选定前缀攻击法伪造了这一证书，并用于签名该恶意软件，使得它看起来像是来自微软。 记录来自内部话筒音频数据也是相当新的手段。当然，其它一些已知的恶意程序也能够记录音频数据，但是Flame的关键不同是它很全面——能够以各种各样的手段盗取数据。 在恶意程序中使用Lua就是非同寻常的，特别是在这么大的一个攻击工具中。一般来说，现代恶意程序大小都偏小，并用紧凑的编程语言进行编写，这样的话能很好的将其隐藏。因此，通过大量的代码实现隐藏是Flame的新特点之一。 对蓝牙设备的使用。当设备的蓝牙功能开启的时候，Flame可以将配置模块中的相关选项同时开启，当发现有设备靠近被感染的计算机时，就可以收集设备中的信息。有赖于这样的配置，它还能以受感染的计算机做为一个“灯塔”，发现通过蓝牙传输的设备，并为背后的操控者提供有关编入到设备信息中的恶意程序状态。 “超级火焰”病毒的主体为一个名为MSSECMGR.OCX的DLL动态库，通过命令行“rundll32.exe MSSECMGR.OCX, DDEnumCallback”来实现病毒的加载。病毒运行后会将自身复制到System32目录下，并向services.exe、winlogon.exe、explorer.exe和iexplore.exe等程序中注入自身并实现加载。 该病毒进入系统后，会主动创建C:Program FilesCommon FilesMicrosoft SharedMSSecurityMgr的目录，在系统不同目录中生成多个文件，，同时还会新创建HKLMSYSTEMCurrentControlSetControlLsaAuthentication Packages = mssecmgr.ocx注册表项 病毒注入 病毒注入 由于与曾经攻击伊朗核项目计算机系统的“震网病毒”相比，“火焰”病毒不仅更为智能，且其攻击目标和代码组成也有较大区别。“火焰”病毒的攻击机制更为复杂，且攻击目标具有特定地域的地点。 “火焰”病毒部分特征与先前发现的“震网”和“毒区”两款病毒类似，显示三种病毒可能“同宗”。网络分析专家认为，已形成“网络战”攻击群。“震网”病毒攻击的是伊朗核设施，“毒区”病毒攻击的是伊朗工业控制系统数据，而“火焰”病毒攻击的则是伊朗石油部门的商业情报。 我的 小伙伴们 目前，微软已经发布了名称为“火焰”病毒利用微软的数字签名欺骗漏洞的KB2718704补丁。“火焰”病毒对家用电脑安全威胁较低，想判断是否中了这种病毒，可以通过查看联网