找回密码
 注册
搜索
热搜: 超星 读书 找书
查看: 227|回复: 0

[【IT电脑】] Flame利用“上帝模式”劫持Windows Update

[复制链接]
发表于 2012-6-8 00:13:30 | 显示全部楼层 |阅读模式
卡巴斯基研究人员称,Flame恶意程序使用了多种方法自我复制,其中最令人感兴趣的是利用微软Windows更新服务,局域网中的其它机器在更新时会连接到被感染的计算机,病毒因此能在局域网中蔓延。

燜lame包含三大模块:“SNACK”、“MUNCH”和“GADGET”,其行为通过恶意程序的全局注册控制,它的数据库中有数以千计的可配置选项。SNACK可嗅探网络中的数据包,而MUNCH是Flame的HTTP服务器,它们能设置一个假的服务器,伪装成Windows updates的合法源。为了让代理能工作,它需要微软Root权限密钥的批准,这就是为什么它需要一个伪造的证书。攻击者利用Terminal Server的弱点创造了假证书,让恶意代码能被验证为合法代码。但光有证书还没用,因为微软在Vista之后版本中在证书信息中加入了Hydra扩展,如果证书验证通过,它会将其标记为“critical”,否则会被拒绝接受。因此攻击者需要利用碰撞攻击移除Hydra数据。此后,Flame就能工作在所有Windows机器上。卡巴斯基研究人员将之称为开启了“上帝模式”作弊码。

http://it.solidot.org/article.pl?sid=12/06/07/1113214

推荐理由:计算机病毒的新发展,魔高一丈了,道呢?
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|网上读书园地

GMT+8, 2024-11-16 05:38 , Processed in 0.205890 second(s), 18 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表