Flame还有三个相关病毒未被小图标
他们也小图标,Flame木马还在发展当中,因为这四种协议对应到服务器端的三个通讯模块,但服务器中还有一个新的通讯模块还未被用到。
资讯安全公司卡巴斯基与赛门铁克针对Flame木马进行深入的研究小图标,其背后的开发者可能还另有三个恶意软件未被小图标。另外根据Flame木马的控制服务器记录,该木马可能自2006就已开发,受害的计算机数量可能上万,非仅先前小图标的数百部。
卡巴斯基五月底小图标Flame木马之后,协同联合国国际电信联盟(ITU)的资讯安全团队IMPACT、德国联邦信息安全局(BSI)安全与计算机紧急反应小组(CERT –Bund)及资讯安全公司赛门铁克,共同研究该木马的细节。
在分析一台位于欧盟某数据中心的木马控制服务器时,小图标该服务器采标准的LAMP(Linux操作系统、Apache网页服务器、MySQL数据库及PHP脚本语言)架构。但该服务器的文件系统使用OpenVZ,不能查看黑客删除了哪些档案,并使用自制软件抹除记录,因此在分析上增加不少困难。不过幸好黑客所制作的灭迹软件并分完美,例如因为拼错字而让灭迹软件无法找到该删除的档案,因此研究人员可以找到不少信息。
经过分析之后,卡巴斯基认为Flame木马客户端所使用的通讯协议有四种,目前只辨识出Flame木马所使用的FL协议,其他三种未知的协议IP、SPE、SP可能代表另外三种木马。他们也小图标,Flame木马还在发展当中,因为这四种协议对应到服务器端的三个通讯模块,但服务器中还有一个新的通讯模块还未被用到。
最令分析人员意外的是,这些黑客在程序中留有署名及时间戳,研究人员总共找出有四个黑客,并按照其程序设计的分工判断每个人的职责。而藉由时间戳,分析人员认为Flame木马早从2006年就开始研发,远早于先前资讯安全公司的估算。
另外,由于黑客没有删除联机记录,资讯安全公司得以分析哪些IP与该服务器联机过,进而得知伊朗有3702台计算机受感染。专家估计,Flame木马的受害者应该有一万以上,远超过刚小图标时已知的382台。
先前有媒体报导,Flame等多种中东地区的木马是由美国与以色列连手开发,这几种木马各自有专精的领域。研究单位也小图标Flame与Stuxnet两种木马之间有直接关连。