安全研究人员发现,至少在过去两年,一种大型复杂的恶意
软件感染了中东成千上万的电脑,并窃取用户资料,监视其在线活动。因为有“火焰”的字样出现在其编码中,所以这种恶意
软件以此命名。“火焰”在窃取用户资料的规模和方式上与其他的恶意
软件不同。它通过对用户的邮件以及即时消息对话截图,用内置麦克风或SKYPE来记录音频对话从而监视计算机用户。
俄国
安全公司卡巴斯基实验室研究员Alexander Gostev周一在他的博客中写道,这种恶意
软件也能利用蓝牙
技术,窃取附近感染电脑的数据。
Gostev在其博客中还提及,这种恶意
软件旨在“系统的收集中东某些国家的运作信息”。迄今为止,伊朗的用户受害最多,黎巴嫩、苏丹、叙利亚和阿拉伯联合酋长国的计算机用户也受到侵害。
Gostev补充说“火焰”的设计者似乎想搜罗所有方面的情报——电子邮件、文档、信息以及敏感国家内部的言论。有专家声称,尽管设计者的身份不明,但是这种
软件像是政府主使的间谍战的一部分。
“火焰可能是有史以来人类面临的最复杂的威胁之一”Gostev说,“其规模之大、程度之复杂都令人难以置信。它很好地定义了网络战和网络间谍战”。
Gostev说,这种恶意
软件能隐藏在看似
安全的程序里,并且制造出能让
黑客随时重新进入受感染的计算机的“后门”。据卡巴斯基实验室所言,到目前为止,火焰恶意
软件的传播范围相对较小——报道感染这种
病毒的计算机不足400台,大约一半是伊朗用户。
研究人员说似乎找不到任何迹象证明这是针对哪些组织。受感染的计算机隶属于政府机关,私企,教育机构和个别私人用户。
安全公司赛门铁克的研究员声称,这款恶意
软件不是针对受害者的工作单位,而是针对他们的个人活动。窃取的资料传送到受黑客“指挥与控制”的
服务器上。这些黑客大约散布在十几个国家。
安全公司麦咖啡研究人员说,这款恶意
软件可以在
微软Winds XP, Windows Vista 以及Windows 7系统上运行。
伊朗计算机应急组表明,受害计算机上安装的抗病毒
软件并不能检测到火焰恶意
软件。星期一应急组发明了一种检测恶意
软件的工具,并且正在开发另外一种可以从受感染电脑上清除这种恶意
软件的工具。
专家说,火焰和另外两种有名的恶意
软件超级工厂病毒、DUQU木马有几分相似,因为它们都是以中东为基地,并且均是从特定的
软件软肋入手。
超级工厂病毒是一种复杂的计算机蠕虫病毒,在2009年和2010年导致伊朗核离心分离机失控。专家们视其为见过的最复杂的网络武器。尽管外界猜测超级工厂病毒是由以色列和美国发明的,但是其设计者还是不为人知。
人们认为DUQU也是出自同一人之手,旨在监控中东国家计算机用户的键盘按键记录并且窃取其计算机文件。赛门铁克公司表示,DUQU给针对工业控制系统的网络攻击打下基础。
但是专家说,火焰在很多方面与超级工厂和DUQU都不同。比如,它的编码比超级工厂长20倍,而且比DUQU要复杂得多。尽管有着20兆字节的编码,但从2010年2月开始迄今的时间内都没有被发现。总部在匈牙利
安全公司Crysys实验室表明,可能在2007年欧洲就有电脑感染过这种病毒。
《网络战内幕》的作者Jeffrey Carr把这项发现称为“意义深远的发现”,但是火焰病毒不同于超级工厂病毒,所以不能被看做是网络武器。
“它只是一种窃取资料的大型工具,比Zeus, SpyEye 和其他的木马病毒都要复杂”他在一封电子邮件中说道,言下之意是之前发现的恶意
软件都是针对计算机用户的。
卡巴斯基实验室研究人员称,因为一些伊朗计算机系统上有大量的数据丢失,联合国国际
电信联盟要求卡巴斯基对这种神秘的计算机病毒进行报告,之后他们才发现了这种恶意
软件。
因为火焰的编码非常之大,Gostev说,可能要花费一年的时间才能弄明白这种恶意
软件的工作原理。
总部在芬兰的计算机
安全公司F-Secure的工作人员Mikko H. Hypponen说,最令人不安的是火焰这种恶意
软件在没有被监测出来的情况下已经传播了好几年。
Hyponnen在其博客中写道:“超级工厂病毒,DUQU,和火焰都是抗病毒行业失败的例子,它们都在未被察觉的情况下传播了很长时间”。
