近日,卡巴斯基又有新发现曾经席卷全球的Stuxnet(震网)病毒及Duqu病毒,同Flame(火焰)病毒有着深层次的关联。另据卡巴斯基研究显示,Stuxnet被创建时(2009年1月-6月),Flame平台早已经存在(目前,卡巴斯基判定其创建时间不晚于2008年夏季),并且已经具备模块化结构。
随着研究深入,卡巴斯基实验室专家发现,以上恶意程序的团队至少在开发的早期阶段曾经合作过“资源207”(Resource 207)是证实这个观点的铁证。根据卡巴斯基提供的研究数据显示,Stuxnet与Duqu使用了同一个攻击平台“Tilded平台”。该平台因其开发者对“~d*.*”文件名格式的偏爱,故此得名。初看上去,Flame从特征分析上跟前面两个恶意程序完全不同,例如该恶意程序的大小,对LUA编程语言的使用以及其多样化的功能等。
然而,新的分析结果的出现却大大改写了Stuxnet的历史。Stuxnet最早的已知版本是在2009年6月被创建的,其中包含一种特殊的模块,被称为“资源207”(Resource 207),在随后的Stuxnet 2010版本中,该模块被完全移除。“资源207”模块是一个加密的DLL文件,其中包含有一个大小为351,768字节的可执行文件,名字为“atmpsvcn.ocx”。经过卡巴斯基实验室的调查发现,这个特别的文件与Flame中使用的代码有很多共同点,包括对互斥对象的命名,解密字符串时所用的算法,以及对文件命名的相似方法。
此外,在Stuxnet和Duqu各自的模块中都有很多相同或类似的代码。因此,可以得出这样的结论,Flame与Duqu/Stuxnet幕后开发团队有过交流,并且是以源代码的形式(而非二进制的形式)。Stuxnet的“资源207”模块的主要功能是从一台计算机感染感染另一台计算机,传播的介质是USB存储设备,并利用了Windows内核中的漏洞提升权限。这种利用USB存储设备传播恶意程序的代码与Flame中使用的代码一致。
卡巴斯基实验室首席安全专家Alexander Gostev表示:“Flame与Tilded是完全不同的平台,但都用来开发各种各样的网络武器。它们有着各自不同的架构和感染系统,且执行主要任务的方式也不同。因此这两个平台的研发项目应该是彼此独立的。然而,新的发现表明它们的幕后团队在早期的开发中,曾经共享过至少一个模块的源代码,进一步证明他们至少有一次团队合作。”
背景资料
Flame(火焰)病毒
Flame是迄今发现为止程序最大的网络武器,其设计结构让其几乎不能被追查到一般的恶意程序都设计得比较小以此方便隐藏,但Flame程序庞大却能隐藏得难以被发现。Flame通过复杂先进的技术感染计算机,而这些技术仅在之前的网络武器Stuxnet中被用到。尽管Flame早在2010年3月就开始活动,但直到卡巴斯基实验室发现之前,没有任何的安全软件将其检测到。
Stuxnet(震网)病毒
Stuxnet是首个将目标锁定在工业设施上的网络武器,在2010年6月被发现时,Stuxnet还感染普通的计算机。其实,Stuxnet最早的已知版本早在一年之前就已创建。另外一个网络武器,也就是众所周知的Duqu,于2011年9月被发现。与Stuxnet不同,Duqu木马在受感染系统中的主要是用作后门,从而盗取机密信息(网络间谍活动)。
Duqu病毒
Duqu是一种复杂的木马,最早于2011年9月被发现,其主要功能是充当系统后门,窃取隐私,它的编写者也创造了臭名昭著的Stuxnet蠕虫。