Flame 病毒的效仿者出现

[-]

今年早些时候,一个叫 Flame 的计算机病毒肆虐了伊朗，对伊朗发电厂的系统软件造成了巨大的破坏，甚至致使伊朗一度“消失”在了互联网上。而现在，从卡巴斯基实验室传来的消息，现在已经有了一个效仿 Flame 的病毒正在做着类似的事情，对“世界上至少一个电力部门”。

只不过这次不同的地方就在于，此病毒并不是官方放出的。

这个新病毒，有时被称作 Shamoon，有时叫 Disttrack，它包含一个名为 Wiper 的文件——这点和 Flame 一样。不过，Shammon 里的 Wiper 文件和 Flame 里的那一个，代码并不相同——这也是为什么相关领域的专家们认为此病毒是由一个效仿者写的。说得更明确一点，卡巴斯基相信这是脚本小子（script kiddies，是一个贬义词，用来描述：以“黑客”自居并沾沾自喜的初学者。脚本小子不像真正的黑客那样发现系统漏洞，他们通常使用别人开发的程序来恶意破坏他人系统。通常的刻板印象为一位没有专科经验的少年，破坏无辜网站企图使得他的朋友感到惊讶，因而称之为脚本小子）们的所作所为。Shamoon，和 Flame 一样，会在每台被感染的计算机上收集数据，然后开始擦除磁盘数据。之后，更进一步的是，这个病毒会使用一个 JPEG 文件碎片来覆盖磁盘，这就让恢复数据变成了几乎不可能的事情。

互联网安全公司 Seculert 认为此病毒最近的安装和运行性质为“被内部执行的两级攻击”（two-stage attack executed from inside）：

攻击者首先对一个处于计算机内部的，能直接联网的部件取得控制，然后将计算机的这部分当作一个代理来使用，靠它连接到外部的 C2 （命令与控制）服务器。通过这个代理，攻击者能够感染更多外部的计算机，而那些计算机并不一定是和互联网直接连接上的。

一旦这种蓄意的内部感染行为完成了，攻击者就会运行 Shamoon 恶意软件，清除掉所有的恶意程式和从计算机里所盗取的数据。然后它通过这个代理将报告返回到外部的 C2 服务器。

目前还没有人知道 Shamoon 到底在对哪一个电力部门或发电站实施了破坏行为。但是 Ars Technica 指出，位于沙特阿拉伯的 Saudi Aramco 发电站上周就是 Shamoon 的攻击对象之一。总之，目前专家们能确定的就是这是有针对性的攻击，但是至于幕后主使是谁，以及此次蓄意攻击的原因，我们还无从知晓。

本文译自 : Gizmodo / 卡巴斯基实验室 ，由 keep_beating 编辑发布。