02 史上最复杂的计算机蠕虫病毒

◎Flame蠕虫病毒

参伍以变，错综其数。

NO.1 小白剧场

大东　小白，记不记得我们之前说过的蠕虫病毒？

小白　啥虫，在哪里？

大东　是我没有说清楚吗？这里没有啥虫，现在到了学习时间，我说的是计算机中常见的蠕虫病毒。

小白　这次听清楚啦，当然记得啦，蠕虫病毒通过网络进行复制和传播，网络和电子邮件是它的主要传播途径。我说得没错吧？

大东　小白真是个聪明的孩子，回答得不错。不过随着社会的发展，不仅科技在进步，计算机病毒也在进步。今天要给你讲的就是一个超级进阶版的蠕虫病毒！

小白　超级进阶版？光听这个称呼就觉得好厉害啊！

大东　它的外文全名是Worm.Win32.Flame，简称Flame（火焰）病毒。

小白　东哥，快给我讲讲吧！又可以学习新知识啦。

NO.2 话说事件

大东　Flame病毒于2005年10月9日开始肆虐网络，主要通过计算机下载的档案进行传染，对计算机程序、系统具有严重的破坏力。2007年，Flame病毒蔓延全世界。2014年1月，Flame病毒被Web信息安全团队封杀，而到了2014年7月，它又重生肆虐。

小白　真是曲折的生存史啊！

大东　Flame病毒是一种后门程序和木马病毒，同时又具有蠕虫病毒的特点。只要它的操控者发出指令，它就能自我复制。

小白　它还会自我繁衍？要是我的主机被感染，那不就救不了了？还有它是怎么运行的？

大东　不要慌嘛！什么事情都得慢慢来。监测网络流量、获取截屏画面、记录音频对话、截获键盘输入等都是它的拿手好戏，并且截取的数据也能够传送至操控者手中。

小白　我能不慌吗，这是完全被监控了的意思吗？

大东　我跟你说，Flame病毒是一种高度复杂的恶意程序，常被用作网络武器并且已经攻击了多个国家。所以我们上网时，不要乱点网站，像你这种喜欢点一些不明网站的人最容易使计算机感染。

小白　哼！那Flame病毒有哪些传播途径呢？

大东　物理接触吧，像另一种工业病毒Stuxnet使用的是一个非常著名的LNK漏洞，它在Flame病毒的代码中也被发现了。一些人会将U盘插入受害用户的个人计算机中，在Stuxnet刚被发现的时候，这个LNK漏洞是一个未公布的0day[1]，但是现在被修复了。目前为止，我们还没有发现Flame病毒使用任何 0day漏洞。

小白　可怕的0day和藏着病毒的U盘。

大东　从现有规律看，这种病毒的攻击活动不具有规律性，个人计算机、教育机构、各类民间组织和国家机关都曾被其攻击过。

小白　那是不是可以说，Flame病毒构造复杂，此前从未有病毒能达到其水平，是一种全新的网络间谍装备？

大东　没错！除此之外，Flame病毒一旦完成数据搜集任务，还可自行毁灭，不留踪迹。

小白　Flame病毒的攻击目标有哪些呢？

大东　Flame病毒虽然是在2012年才被发现的，但很多专家认为它可能已经潜伏很久了，包括伊朗、以色列等许多国家的成千上万台计算机都已感染了这种病毒。

小白　看来它是不挑食呀！

大东　但是它开始主要集中攻击中东地区，包括伊朗、以色列、巴勒斯坦、叙利亚等国家，大多数情况下它被用于网络战争。

小白　我终于了解了什么是真正的没有硝烟的战争了。

NO.3 大话始末

大东　Flame病毒被世界电信联盟等官方以及卡巴斯基等国际权威厂商认定为迄今为止最复杂、最危险、最致命的病毒威胁。

小白　Flame病毒这么厉害吗？值得被冠以“最复杂”“最危险”“最致命”等众多称号？

大东　从病毒行为的结果上看，Flame病毒能够躲过100种反病毒软件的检测。感染该病毒的计算机将自动分析自己的网络流量规律，自动录音，并且记录用户密码和键盘敲击规律，将用户浏览网页、通信、账号密码乃至键盘输入等记录，以及其他重要文件，统统打包发送给远程操控病毒的服务器。

小白　太狡诈了！连杀毒软件都抓不住它！

大东　另外，从病毒设计上看，Flame病毒使用了5种不同的加密算法、3种不同的压缩技术和至少5种不同的文件格式，还包括一些其专有的格式，并将它感染的系统信息以高度结构化的格式存储在SQLite等数据库中，病毒文件达到20MB之多。此外，它还使用游戏开发用的Lua脚本语言编写，使得结构更加复杂。

小白　天呐，真的好复杂啊！

大东　由于Flame病毒结构的复杂性和攻击目标具有选择性，反病毒软件一直未能发现它，因此它的潜伏性更加危险。

小白　主要它还能自行毁灭，这个是最可怕的。

大东　Flame病毒一旦感染计算机后，会使用各种系统进程去收集数据，并将数据发送给远程操控病毒的服务器。即便与服务器的联系被切断，蓝牙信号也可以实现攻击者对Flame病毒的近距离控制。

小白　看样子它覆盖了用户计算机的所有出入接口，功能强大啊！

大东　是的。Flame病毒的设计复杂，这使它具备了几个其他病毒没有的新特性，令人称奇。

小白　快给我讲讲。

大东　首先，Flame病毒通过大量的代码实现了隐藏。在恶意程序中使用Lua语言编写代码是非同寻常的，尤其是在如此复杂的一个攻击工具中出现。一般情况下，现代恶意程序包都偏小，并用紧凑的编程语言进行编写，这样能更好地将其隐藏。

小白　哇！真是狡猾，还会将自身隐藏在大量的代码中来躲避查杀。看来只要技术高，这些都不是问题，厉害了啊！

大东　其次，Flame病毒能记录来自计算机内部的话筒音频数据，这也是相当新的手段。当然，其他一些已知的恶意程序也能够记录音频数据，但是Flame病毒的不同之处是它很全面——能够以各种各样的手段盗取数据。

小白　哈哈，这点是值得软件开发者们学习的地方。

大东　最后，Flame病毒另一个令人称奇的特点就是对蓝牙设备的使用。当设备的蓝牙功能开启的时候，Flame病毒可以将配置模块中的相关选项同时开启，当发现有设备靠近被感染的计算机时，Flame病毒就可以收集新设备中的数据。

小白　太可怕了，只要靠近，就会被收集数据，真的是“传染”呢！

大东　有赖于这样的配置，它还能将受感染的计算机作为一个“灯塔”，发现通过蓝牙传输的设备，并为背后的操控者提供编入设备信息中的恶意程序的状态。

小白　吓得我赶紧关闭了蓝牙！这么说来，Flame病毒真的很危险啊！

大东　当然。一旦Flame病毒感染了计算机并激活了相应的组件，它会运用包括键盘、屏幕、麦克风、移动存储设备、网络、Wi-Fi、蓝牙、USB和系统进程在内的所有可能条件去收集数据，盗取用户浏览网页、通信、账号密码乃至键盘输入等记录，甚至利用蓝牙功能窃取与被感染计算机相连的智能手机、平板电脑中的文件发送给远程操控病毒的服务器。

大东　此外，即便Flame病毒与服务器的联系被切断，攻击者依然可通过蓝牙信号对被感染计算机进行近距离控制。从功能角度看，Flame病毒是非常强大的，可以说是偷盗技术全能，覆盖了用户使用计算机的所有输入输出接口。

小白　唉，没活路了。

大东　当然这种全方位获取信息的行为并不是针对每个人的，微软也表示Flame病毒主要用于进行高度复杂且极具针对性的攻击，它会从PDF、电子表格和Word文档等文件中提取1KB样本，压缩和上传样本到命令控制服务器，然后攻击者发出指令抓取他们感兴趣的特定文档。听说在所有文件中Flame病毒对AutoCAD绘图文件比较感兴趣哦。

NO.4 小白内心说

小白　这么强大的Flame病毒，我到底该怎么办呢？

大东　这方面是你专业吗？你瞎操什么心！

小白　大东哥哥不知道我就是一个心急之人吗？

大东　不用担心。杀毒软件给我们提供了“超级火焰”专题的杀毒工具，只需轻轻一点击，Flame病毒就消失得无影无踪啦！

小白　你就吹牛吧！

大东　真的可以，因为Flame病毒利用的是微软漏洞；还有一种方法就是及时安装官方提供的补丁，这一点也是十分重要的。

小白　那怎么样才能查看我的计算机是否已经感染了Flame病毒呢？

大东　你的计算机不会感染的，如果你不信，你可以首先搜索计算机中是否存在～DEB93D.tmp文件，如存在则有可能感染了Flame病毒。然后检查注册表HKLMSYSTEM\_CurrentControlSet\Control\Lsa\Authentication Packages，如发现mssecmgr.ocx或authpack.ocx，则说明计算机已被感染。

小白　只要计算机里没有这些文件是不是就可以确定我的计算机没有被感染呢？

大东　当然不是，还要检查以下目录是否存在，如存在则说明计算机已被感染：

• C:\Program Files\Common Files\microsoft shared\MSSecurityMgr；

• C:\Program Files\Common Files\microsoft shared\MSAudio；

• C:\Program Files\Common Files\microsoft shared\MSAuthCtrl；

• C:\Program Files\Common Files\microsoft shared\MSAPackages；

• C:\Program Files\Common Files\microsoft shared\MSSndMix。

小白　这回总该完事了吧！

大东　你这个急性子，还有最后一步没说呢！如果在%windir%\system32\目录下发现以下任一文件，也能说明计算机可能被感染：mssecmgr.ocx、advnetcfg.ocx、msglu32.ocx、nteps32.ocx、soapr32.ocx、ccalc32.sys、boot32drv.sys。

小白　总算完事了！不过，现在的病毒无孔不入，确实应该一步一步慢慢地检查上述的每一个文件夹和文件是否存在，以防它的入侵。

大东　这么复杂的操作，小白你自己能搞定吗？

小白　也是，要不我还是装个杀毒软件，直接交给专业软件处理吧！

大东　互联网是把双刃剑，用好了可以学习知识，没正确使用的话可能丢失个人信息，给犯罪团伙制造机会。虽然有国家法律和各种网络安全公司帮助我们了解各种病毒和威胁，部署安全防护措施，但是咱们普通用户也一定要学会在网络世界中保护自己。

小白　那是当然的，我早就总结成口诀了！大东东听好！系统补丁要打好，盲目下载切忌搞。安全浏览省烦恼，密码复杂很重要。定期查杀不能少，U盘防护要趁早。

大东　哈哈，真不错！

---

[1] 0day是在安全厂商知晓并发布相关补丁前就被掌握或者公开的漏洞信息。