火焰 (惡意軟件)

火焰病毒（Flame，又名Flamer，sKyWIper，Skywiper）是一種2012年5月被發現的惡意軟件，也譯作「超級火焰」，以Lua和C++語言寫成，利用微軟公司Windows 作業系統的兩處瑕疵侵入電腦並注入其他程序。大約從2010年開始散播，其所包含的代碼量約是之前發現的震網病毒（Stuxnet）或毒區病毒（Duqu）的20倍，被稱為有史以來最複雜的惡意軟件，在中東大範圍傳播。^[1]

火焰病毒偽裝成微軟開發的合法程式，侵入個人電腦、竊取私密資料。主要功能在收集個人資訊，並上傳到網路，以數種方式進行活動，包括錄音、擷取螢幕畫面、侵入鄰近的藍牙裝置等。大小約為20MB，包含數個模組，包括解壓縮程式庫、SQL資料庫、和Lua虛擬器等。^[2]因為它在收到指令的情況下，會自我刪除，而且其注入其他程序後，會將自己所在內存區段設置為用戶態不可讀、用戶態不可寫、用戶態不可執行，所以很難被用戶態下的其它程序偵測出來。^[3]

伊朗方面於2012年4月時，稱該病毒被其創造者命名為Wiper^[4] 。而卡巴斯基則說它和Wiper沒有什麼關係^[5]。儘管以色列副部長摩西的某段講話似乎暗示了以色列是始作俑者，但目前以色列在受害數量上僅次於伊朗的189起，為89起^[6]^[7]。

報導聲稱該惡意軟體由美國國家安全局和以色列合作研發^[8]^[9]。類似震網病毒，可能都在Olympic Games計劃下開發出來^[10]。印度時報報道，目前有80家來自亞洲、歐洲和北美的服務器在操作這種病毒。美國和以色列都正式否認與此病毒有關。^[11] ^[12]

微軟推出KB2718704更新程序來防範該病毒。^[13]^[14]

值得注意的是，該惡意軟件中包含了一個偽造的數字簽名。被偽造簽名的主體是Microsoft Enforced Licensing Intermediate PCA數字證書認證機構^[15]。由於微軟在終端服務授權服務證書中，錯誤地啟用了代碼簽名功能，並且儘管早在2008年便有人成功地偽造了使用MD5作為簽名算法的數字證書^[16]，這一證書卻依舊在使用MD5作為簽名算法。這使得偽造該證書變得比較容易。此惡意軟件的開發者成功地通過選定前綴攻擊法偽造了這一證書，並用於簽名該惡意軟件，使得它看起來像是來自微軟。^[17]

更多信息 屬性, 值 ...

以下是偽造的證書的詳細信息
屬性	值
版本	V3
序列號	3a ab 11 de e5 2f 1b 19 d0 56
簽名算法	md5RSA
簽名散列算法	md5
頒發者	CN = Microsoft Root Authority,OU = Microsoft Corporation,OU = Copyright (c) 1997 Microsoft Corp.
有效期起始	2009年12月10日11:55:35
有效期終止	2016年10月23日18:00:00
主體	CN = Microsoft Enforced Licensing Intermediate PCA,OU = Copyright (c) 1999 Microsoft Corp.,O = Microsoft Corporation,L = Redmond,S = Washington,C = US
主體公鑰	30 82 01 0a 02 82 01 01 00 fa c9 3f 35 cb b4 42 4c 19 a8 98 e2 f4 e6 ca c5 b2 ff e9 29 25 63 9a b7 eb b9 28 2b a7 58 1f 05 df d8 f8 cf 4a f1 92 47 15 c0 b5 e0 42 32 37 82 99 d6 4b 3a 5a d6 7a 25 2a 9b 13 8f 75 75 cb 9e 52 c6 65 ab 6a 0a b5 7f 7f 20 69 a4 59 04 2c b7 b5 eb 7f 2c 0d 82 a8 3b 10 d1 7f a3 4e 39 e0 28 2c 39 f3 78 d4 84 77 36 ba 68 0f e8 5d e5 52 e1 6c e2 78 d6 d7 c6 b9 dc 7b 08 44 ad 7d 72 ee 4a f4 d6 5a a8 59 63 f4 a0 ee f3 28 55 7d 2b 78 68 2e 79 b6 1d e6 af 69 8a 09 ba 39 88 b4 92 65 0d 12 17 09 ea 2a a4 b8 4a 8e 40 f3 74 de a4 74 e5 08 5a 25 cc 80 7a 76 2e ee ff 21 4e b0 65 6c 64 50 5c ad 8f c6 59 9b 07 3e 05 f8 e5 92 cb d9 56 1d 30 0f 72 f0 ac a8 5d 43 41 ff c9 fd 5e fa 81 cc 3b dc f0 fd 56 4c 21 7c 7f 5e ed 73 30 3a 3f f2 e8 93 8b d5 f3 cd 0e 27 14 49 67 94 ce b9 25 02 03 01 00 01
增強密鑰用法	代碼簽名（1.3.6.1.5.5.7.3.3）許可證密鑰包（1.3.6.1.4.1.311.10.6.1）授權服務器驗證（1.3.6.1.4.1.311.10.6.2）
頒發者標識	證書頒發者：CN=Microsoft Root Authority, OU=Microsoft Corporation, OU=Copyright (c) 1997 Microsoft Corp. 證書序列號：00 c1 00 8b 3c 3c 88 11 d1 3e f6 63 ec df 40
主體標識	6a 97 e0 c8 9f f4 49 b4 89 24 b3 e3 d1 a8 22 86 aa d4 94 43
密鑰使用	數字簽名證書籤名離線證書吊銷列表簽名證書吊銷列表簽名（86）
基本限制	主體類型：數字證書認證機構路徑長度限制：無
指紋算法	sha1
指紋	2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

火焰 (惡意軟件)

注釋

相關條目

Wikiwand - on