火焰病毒(Flame,又名Flamer,sKyWIper,Skywiper)是一种2012年5月被发现的恶意软件,也译作“超级火焰”,以Lua和C++語言寫成,利用微軟公司Windows作業系統的两处瑕疵侵入電腦并注入其他程序。大約從2010年開始散播,其所包含的代码量约是之前发现的震网病毒(Stuxnet)或毒区病毒(Duqu)的20倍,被称为有史以来最复杂的恶意软件,在中东大范围传播。[1]
火焰病毒在伊朗、以色列、苏丹 的影响占比饼状图,波斯语图片
火焰病毒偽裝成微軟開發的合法程式,侵入個人電腦、竊取私密資料。主要功能在收集個人資訊,並上傳到網路,以數種方式進行活動,包括錄音、擷取螢幕畫面、侵入鄰近的藍牙裝置等。大小约為20MB,包含數個模組,包括解壓縮程式庫、SQL資料庫、和Lua虛擬器等。[2]因為它在收到指令的情况下,會自我刪除,而且其注入其他程序后,会将自己所在内存区段设置为用户态不可读、用户态不可写、用户态不可执行,所以很難被用户态下的其它程序偵測出來。[3]
伊朗方面於2012年4月时,称该病毒被其创造者命名为Wiper[4] 。而卡巴斯基则说它和Wiper没有什么关系[5]。尽管以色列副部长摩西的某段讲话似乎暗示了以色列是始作俑者,但目前以色列在受害数量上仅次于伊朗的189起,为89起[6][7]。
報導声称該惡意軟體由美國國家安全局和以色列合作研發[8][9]。類似震网病毒,可能都在Olympic Games計劃下開發出來[10]。印度时报报道,目前有80家来自亚洲、欧洲和北美的服务器在操作这种病毒。美国和以色列都正式否认与此病毒有关。[11] [12]
微软推出KB2718704更新程序来防范该病毒。[13][14]
值得注意的是,该恶意软件中包含了一个伪造的数字签名。被伪造签名的主体是Microsoft Enforced Licensing Intermediate PCA数字证书认证机构[15]。由于微软在终端服务授权服务证书中,错误地启用了代码签名功能,并且尽管早在2008年便有人成功地伪造了使用MD5作为签名算法的数字证书[16],这一证书却依旧在使用MD5作为签名算法。这使得伪造该证书变得比较容易。此恶意软件的开发者成功地通过选定前缀攻击法伪造了这一证书,并用于签名该恶意软件,使得它看起来像是来自微软。[17]
更多信息 属性, 值 ...
| 属性
|
值
|
以下是伪造的证书的详细信息
| 版本
|
V3
|
| 序列号
|
3a ab 11 de e5 2f 1b 19 d0 56
|
| 签名算法
|
md5RSA
|
| 签名散列算法
|
md5
|
| 颁发者
|
CN = Microsoft Root Authority,OU = Microsoft Corporation,OU = Copyright (c) 1997 Microsoft Corp.
|
| 有效期起始
|
2009年12月10日11:55:35
|
| 有效期终止
|
2016年10月23日18:00:00
|
| 主体
|
CN = Microsoft Enforced Licensing Intermediate PCA,OU = Copyright (c) 1999 Microsoft Corp.,O = Microsoft Corporation,L = Redmond,S = Washington,C = US
|
| 主体公钥
|
30 82 01 0a 02 82 01 01 00 fa c9 3f 35 cb b4 42 4c 19 a8 98 e2 f4 e6 ca c5 b2 ff e9 29 25 63 9a b7 eb b9 28 2b a7 58 1f 05 df d8 f8 cf 4a f1 92 47 15 c0 b5 e0 42 32 37 82 99 d6 4b 3a 5a d6 7a 25 2a 9b 13 8f 75 75 cb 9e 52 c6 65 ab 6a 0a b5 7f 7f 20 69 a4 59 04 2c b7 b5 eb 7f 2c 0d 82 a8 3b 10 d1 7f a3 4e 39 e0 28 2c 39 f3 78 d4 84 77 36 ba 68 0f e8 5d e5 52 e1 6c e2 78 d6 d7 c6 b9 dc 7b 08 44 ad 7d 72 ee 4a f4 d6 5a a8 59 63 f4 a0 ee f3 28 55 7d 2b 78 68 2e 79 b6 1d e6 af 69 8a 09 ba 39 88 b4 92 65 0d 12 17 09 ea 2a a4 b8 4a 8e 40 f3 74 de a4 74 e5 08 5a 25 cc 80 7a 76 2e ee ff 21 4e b0 65 6c 64 50 5c ad 8f c6 59 9b 07 3e 05 f8 e5 92 cb d9 56 1d 30 0f 72 f0 ac a8 5d 43 41 ff c9 fd 5e fa 81 cc 3b dc f0 fd 56 4c 21 7c 7f 5e ed 73 30 3a 3f f2 e8 93 8b d5 f3 cd 0e 27 14 49 67 94 ce b9 25 02 03 01 00 01
|
| 增强密钥用法
|
代码签名(1.3.6.1.5.5.7.3.3)
许可证密钥包(1.3.6.1.4.1.311.10.6.1)
授权服务器验证(1.3.6.1.4.1.311.10.6.2)
|
| 颁发者标识
|
证书颁发者:CN=Microsoft Root Authority, OU=Microsoft Corporation, OU=Copyright (c) 1997 Microsoft Corp.
证书序列号:00 c1 00 8b 3c 3c 88 11 d1 3e f6 63 ec df 40
|
| 主体标识
|
6a 97 e0 c8 9f f4 49 b4 89 24 b3 e3 d1 a8 22 86 aa d4 94 43
|
| 密钥使用
|
数字签名
证书签名
离线证书吊销列表签名
证书吊销列表签名(86)
|
| 基本限制
|
主体类型:数字证书认证机构
路径长度限制:无
|
| 指纹算法
|
sha1
|
| 指纹
|
2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70
|
关闭
