一、讖曰
大東：小白，記不記得我們之前說過的蠕蟲病毒？
小白：記得記得，蠕蟲病毒通過網絡進行復制和傳播，主要傳染途徑是通過網絡和電子郵件對吧~
大東：記得不錯嘛！不過隨著社會的發展，不僅科技在進步，電腦病毒也在進步 。今天給你講的就是一個超級進階版的蠕蟲病毒！
小白：超級進階版？光聽這個就覺得好厲害?。?
大東：它的真名是Worm.Win32.Flame，簡稱為火焰病毒 。
小白：東哥，快給我講講吧！我都有點迫不及待了 。
二、Flame病毒
大東：Flame病毒的全名為Worm.Win32.Flame，于2012年5月被發現，它是一種后門程序和木馬病毒，同時又具有蠕蟲病毒的特點 。只要其背后的操控者發出指令，它就能在網絡、移動設備中進行自我復制 。
小白：一旦電腦系統被感染，病毒將開始怎樣的行動呢？
大東：包括監測網絡流量、獲取截屏畫面、記錄音頻對話、截獲鍵盤輸入等 。被感染系統中所有的數據都能通過鏈接傳到病毒指定的服務器，讓操控者一目了然 。
小白：完全被監控了 。
大東：Flame病毒是一種高度復雜的惡意程序，常被用作網絡武器并已經攻擊了多個國家 。

文章插圖

卡巴斯基截獲的Flame病毒
小白：Flame病毒有哪些傳播途徑呢？
大東：物理接觸，像另一種工業病毒Stuxnet使用的一個非著名的LNK漏洞，在Flame的代碼中也被發現了 。一些人會攜帶USB插入受害用戶的PC中 。在Stuxnet剛被發現的時候這個LNK漏洞是一個未公布的0day，但是現在被修復了 。目前為止，沒有發現Flame使用任何0day漏洞 。
小白：還有呢？
大東：遠程感染，在這種情況可能是一個惡意鏈接或者通過郵件附件 。如果Flame的作者們嘗試遠程將Flame病毒上傳到用戶PC中，可能會被類似Trustwave Secur Web Gateway等安全防護軟件攔截下來，因為它沒有一個合適的數字簽名 。
小白：Flame病毒的攻擊目標有哪些呢？
大東：Flame病毒雖然是在2012年才被發現的，但很多專家認為它可能已經潛伏很久了，包括伊朗、以色列等許多國家的成千上萬臺電腦都已感染了這種病毒 。而且這種病毒的攻擊活動不具規律性，個人電腦、教育機構、各類民間組織和國家機關都曾被其光顧過 。
小白：看來它是不挑攻擊對象 。
大東：Flame 病毒開始主要集中攻擊中東地區，包括伊朗 189 例、以色列和巴勒斯坦 98 例，以及敘利亞、黎巴嫩、沙特等國家，目的為用于網絡戰爭 。


文章插圖

Flame病毒分布圖
小白：沒有硝煙的戰爭 。
三、史上最危險的病毒
大東：Flame 被包括世界電信聯盟等官方以及卡巴斯基等國際權威廠商認定為迄今為止最復雜、最危險、最致命的病毒威脅 。
小白：Flame病毒這么厲害嗎？值得被冠以“最復雜、最危險”“最厲害”甚至“設計最巧妙”“最隱密”“最致命”等眾多稱號？
大東：Flame 病毒用上了5種不同的加密算法，3種不同的壓縮技術，和至少5種不同的文件格式，包括其專有的格式，并將它感染的系統信息以高度結構化的格式存儲在SQLite等數據庫中，病毒文件達到20MB之巨（代碼打印出來的紙張長度達到2400米） 。此外，還使用了游戲開發用的Lua腳本語言編寫，使得結構更加復雜 。
小白：真的是可謂“最復雜” 。
大東：據悉Flame病毒出現的最早時間可追溯到2007年，并推測可能于2010年3月就被攻擊者放出（攻擊伊朗石油部門的商業情報），但由于其結構的復雜性和攻擊目標具有選擇性，安全軟件一直未能發現它 。目前一致看法是Flame病毒可能已經以某種形式活躍了長達5至8年的時間，甚至還可能更久，這種高潛伏性很是危險 。此外 ， 一旦完成搜集數據任務 ， 這些病毒還可自行毀滅，這也是其能夠長期潛伏的原因之一 。
小白：還能自行毀滅，難怪不容易被察覺 。
大東：一旦感染 Flame 病毒并激活組件后，它會運用包括鍵盤、屏幕、麥克風、移動存儲設備、網絡、WIFI、藍牙、USB和系統進程在內的所有的可能的條件去收集信息，然后將用戶瀏覽網頁、通訊通話、賬號密碼以至鍵盤輸入等紀錄，甚至利用藍牙功能竊取與被感染電腦相連的智能手機、平板電腦中的文件發送給遠程操控病毒的服務器 。此外，即便與服務器的聯系被切斷，攻擊者依然可通過藍牙信號對被感染計算機進行近距離控制 。
小白：從功能角度是非常強大的，可以稱之為偷盜技術全能，覆蓋了用戶使用電腦的所有輸入輸出的接口 。
大東：沒錯 。
四、防范措施
小白：這么強大的Flame病毒到底應該怎么防范呢？
大東：不用擔心 。殺毒軟件給我們提供了 “超級火焰”專題的殺毒工具，只需輕輕點擊，火焰病毒就消失的無影無蹤啦！
小白：還有其他的方法嗎？
大東：當然有 。火焰病毒利用的是微軟漏洞，所以及時安裝官方提供的補丁也是十分重要的 。
小白：那怎么看我是否已經感染了火焰病毒呢？
大東：首先搜索電腦中是否存在“~DEB93D.tmp”文件 。如存在則有可能感染了Flame病毒 。然后檢查注冊表“HKLM_SYSTEMCurrentControlSetControlLsa Authentication Packages”，如發現mssecmgr.ocx或authpack.ocx ， 則說明電腦已被感染 。
小白：只要電腦里沒有這些文件是不是就可以確定我的電腦沒有被感染呢？
大東：檢查以下目錄是否存在 。如存在則說明電腦已被感染：C:Program FilesCommonFilesMicrosoftSharedMSSecurityMgr
C:Program FilesCommon FilesMicrosoft SharedMSAudio
C:Program FilesCommon FilesMicrosoft SharedMSAuthCtrl
C:Program FilesCommon FilesMicrosoft SharedMSAPackages
C:Program FilesCommon FilesMicrosoft SharedMSSndMix
小白：這回總該完事了吧！
大東：你這個急性子，還有最后一步沒說呢！如果在 %windir%system32目錄下發現以下任一文件，也能說明電腦可能被感染：mssecmgr.ocx、advnetcfg.ocx、msglu32.ocx、nteps32.ocx、soapr32.ocx、ccalc32.sys、boot32drv.sys
小白：總算完事了！不過，現在的病毒無孔不入，確實應該一步一步慢慢地檢查上述的每一個文件夾是否存在，以防它的入侵 。
大東：小白啊 ， 你終于懂得這些道理了 。
來源：中國科學院計算技術研究所
溫馨提示：近期，微信公眾號信息流改版 。每個用戶可以設置 常讀訂閱號，這些訂閱號將以大卡片的形式展示 。因此，如果不想錯過“中科院之聲”的文章，你一定要進行以下操作：進入“中科院之聲”公眾號 → 點擊右上角的 ··· 菜單 → 選擇「設為星標」
【worm win32是什么病毒，Flame病毒有哪些傳播途徑】

文章插圖

• 近心端是什么意思
• 青春期是什么時候，為什么青少年往往為了一點小事自殺
• 柿子黑心是什么原因 柿子里面黑色的原因是什么造成的
• 不破樓蘭終不還的上一句是什么
• 斷奶流程是什么樣的
• 不文又不武是什么生肖
• qq名片照片墻九組圖，名片背景圖是什么樣
• 蜂蜜分層后上下層分別是什么
• 刻木事親是什么意思
• 常務副書記是什么意思 僅次于什么