正在阅读：卡巴斯基发现震网与火焰病毒间的关联卡巴斯基发现震网与火焰病毒间的关联

　　2012年5月，卡巴斯基率先宣布发现攻击伊朗、以色列等多个中东国家的恶意程序，并将其命名为Flame（火焰），于是Flame一举成为政治和互联网中的最热名词。

　　近日，始终领导该病毒研究的卡巴斯基又有创新发现——曾经席卷全球的Stuxnet（震网）病毒及Duqu病毒，同Flame（火焰）病毒有着深层次的关联。另据卡巴斯基的研究显示，Stuxnet被创建时（2009年1月-6月），Flame平台早已经存在（目前，卡巴斯基判定其创建时间不晚于2008年夏季），并且已经具备模块化结构。

　　随着研究的深入，卡巴斯基实验室的专家们发现，以上恶意程序的团队至少在开发的早期阶段曾经合作过——“资源207”（Resource 207）是证实这个观点的铁证。根据卡巴斯基提供的研究数据显示，Stuxnet与Duqu使用了同一个攻击平台——“Tilded平台”。该平台因其开发者对“~d*.*”文件名格式的偏爱，故此得名。初看上去，Flame从特征分析上跟前面两个恶意程序完全不同，例如该恶意程序的大小，对LUA编程语言的使用以及其多样化的功能等。然而，新的分析结果的出现却大大改写了Stuxnet的历史。Stuxnet最早的已知版本是在2009年6月被创建的，其中包含一种特殊的模块，被称为“资源207”（Resource 207），在随后的Stuxnet 2010版本中，该模块被完全移除。“资源207”模块是一个加密的DLL文件，其中包含有一个大小为351,768字节的可执行文件，名字为“atmpsvcn.ocx”。经过卡巴斯基实验室的调查发现，这个特别的文件与Flame中使用的代码有很多共同点，包括对互斥对象的命名，解密字符串时所用的算法，以及对文件命名的相似方法。

　　此外，在Stuxnet和Duqu各自的模块中都有很多相同或类似的代码。因此，可以得出这样的结论，Flame与Duqu/Stuxnet幕后开发团队有过交流，并且是以源代码的形式（而非二进制的形式）。Stuxnet的“资源207”模块的主要功能是从一台计算机感染感染另一台计算机，传播的介质是USB存储设备，并利用了Windows内核中的漏洞提升权限。这种利用USB存储设备传播恶意程序的代码与Flame中使用的代码一致。

　　卡巴斯基实验室首席安全专家Alexander Gostev表示：“Flame与Tilded是完全不同的平台，但都用来开发各种各样的网络武器。它们有着各自不同的架构和感染系统，且执行主要任务的方式也不同。因此这两个平台的研发项目应该是彼此独立的。然而，新的发现表明它们的幕后团队在早期的开发中，曾经共享过至少一个模块的源代码，进一步证明他们至少有一次团队合作。”