【中关村在线软件资讯】6月6日消息:在Flame恶意程序上周被曝光之后,其幕后攻击者立即关闭了80多个命令控制服务器。服务器域名是采用化名注册,每个化名最多注册4个域名。二上传到服务器的数据包括了计算机辅助软件绘制图纸、电子邮件和PDF文档。安全研究人员发现,Flame对受感染机器上的AutoCAD绘图文件最感兴趣。
恶意程序数据
这套域名最早注册时间是在2008年,使用至少22个不同IP地址,服务器运行UbuntuLinux发行版。卡巴斯基与GoDaddy和OpenDNS合作,将域名重定向到其控制的服务器上,收集到了恶意程序上传的数据。
安全研究人员发现,Flame和知名恶意蠕虫Duqu有许多共同特征,都对受感染机器上的AutoCAD绘图文件感兴趣。为了限制窃取的文件数量和避免上传无关的文件,Flame会从PDF、电子表格和Word文档中提取1KB样本,压缩和上传样本到命令控制服务器,然后攻击者发出指令抓取他们感兴趣的特定文档。
与Duqu不同之处是,Duqu会利用SSH端口转发伪装攻击者的真实身份,而Flame则是直接上传到服务器,换句话说,它的幕后攻击者没有Duqu的操作者谨慎。
| 【新闻】iOS6十大新功能猜想 | iOS5.1.1完美越狱教程 |
| PDF文件怎么打开?PDF阅读器下载 | |
| 【评测】十款爷们专属游戏推荐 | 浅析Web App发展现状 |
| 【Win8】Win8中文版系统下载 | Windows8安装教程 |
