安天实验室：Flame蠕虫样本集分析报告

安天实验室于 2012 年 5 月 28 日起陆续捕获到 Flame 蠕虫的样本,截止到报告发布日安天 已经累计捕获 Flame 蠕虫主文件的变种数 6 个,其它模块为 20 多个不同 HASH 值的样本实体, 并通过这些样本进一步生成了其他的衍生文件。安天成立了专门的分析小组,经过持续分析, 发现它是采用多模块化复杂结构实现的信息窃取类型的恶意软件。其主模块文件大小超过 6MB。 包含了大量加密数据、内嵌开源软件代码(如 Lua 等)、漏洞攻击代码、模块配置文件、多种加 密压缩算法,信息盗取等多种模块。在漏洞攻击模块中发现了 Stuxnet 使用过的 USB 攻击模块, Stuxnet 事件是发生在 2010 年针对伊朗核设施的 APT 攻击事件[1]。据外界现有分析,该恶意软件已经非常谨慎地运作了至少两年时间[2],它不但能够窃取文 件,对用户系统进行截屏,通过 USB 传播禁用安全厂商的安全产品,并可以在一定条件下传播 到其他系统,还有可能利用微软 Windows 系统的已知或已修补的漏洞发动攻击,进而在某个网 络中大肆传播。目前业内各厂商对该蠕虫的评价如下:McAfee 认为此