Flame利用“上帝模式”劫持Windows Update

zyphiee

卡巴斯基研究人员称，Flame恶意程序使用了多种方法自我复制，其中最令人感兴趣的是利用微软Windows更新服务，局域网中的其它机器在更新时会连接到被感染的计算机，病毒因此能在局域网中蔓延。

燜lame包含三大模块：“SNACK”、“MUNCH”和“GADGET”，其行为通过恶意程序的全局注册控制，它的数据库中有数以千计的可配置选项。SNACK可嗅探网络中的数据包，而MUNCH是Flame的HTTP服务器，它们能设置一个假的服务器，伪装成Windows updates的合法源。为了让代理能工作，它需要微软Root权限密钥的批准，这就是为什么它需要一个伪造的证书。攻击者利用Terminal Server的弱点创造了假证书，让恶意代码能被验证为合法代码。但光有证书还没用，因为微软在Vista之后版本中在证书信息中加入了Hydra扩展，如果证书验证通过，它会将其标记为“critical”，否则会被拒绝接受。因此攻击者需要利用碰撞攻击移除Hydra数据。此后，Flame就能工作在所有Windows机器上。卡巴斯基研究人员将之称为开启了“上帝模式”作弊码。

http://it.solidot.org/article.pl?sid=12/06/07/1113214

推荐理由：计算机病毒的新发展，魔高一丈了，道呢？