在伊朗承认其石油部门受计算机病毒“火焰”影响后，多家反病毒公司的专家表示，“火焰”的确有独特之处，比此前发现的病毒要复杂。

　　“火焰”病毒引起人们对网络间谍活动的关注，伊朗网络安全部门表示“火焰”和著名的“震网(Stuxnet)”、Duqu病毒有“密切关系”。“震网”和Duqu被看做是最早出现的两种“网络间谍战武器”。

　　“震网”于2010年7月被发现，这种蠕虫病毒专门针对德国西门子公司设计制造的供水、发电等基础设施的计算机控制系统，伊朗曾承认“震网”影响到其核电站的部分离心机。Duqu病毒针对的也是工业控制系统，目的在于收集信息。大部分反病毒专家认为，“震网”和Duqu来源相同，需要多人长时间合作完成，因此可能是某组织或政府机构所为。

　　与“震网”相比，“火焰”病毒最直观的特点是代码量大，达到65万行，是前者的20倍。这种大型的恶意软件常被业内人士称作“百米赛跑”，指的是代码打印出来的纸张长度。“火焰”代码打印出来的纸张长度达到2400米。

　　从功能上看，“震网”和Duqu能破坏某个目标，而“火焰”则是为了收集各行业的敏感信息。反病毒企业迈克菲公司负责安全研究的戴维·马库斯等专家对媒体表示，“火焰”的散布范围主要在中东地区，但可针对多个不同行业。它实际是一个工具包，当计算机感染最初的“火焰”病毒后，计算机就会被安装特定的任务模块。

　　研究人员已发现，这些特定的任务模块可捕捉键盘敲击、窃取密码、删除硬盘数据、激活语音系统窃听网络电话和聊天内容，甚至利用蓝牙功能窃取与被感染电脑相连的智能手机、平板电脑中的内容。

　　马库斯解释说，“震网”当年“成名”的一个重要原因在于它使用了“零日漏洞”攻击，即病毒编写者利用自己发现的4个系统漏洞，在软件公司发布补丁之前发起攻击。但“火焰”利用的都是已知漏洞，甚至包括“震网”曾攻击的两个漏洞。

　　由此看来，“火焰”编写者很可能做了大量调研，分析了目标计算机的操作系统，发现目标还没有修补某些系统漏洞，掌握了渗透这些系统的最佳方式。

　　通过蓝牙信号传递指令也是此前罕见的功能。迈克菲公司的研究人员已成功关闭了几个向被感染计算机发送指令的服务器。但即便与服务器的联系被切断，攻击者依然可通过蓝牙信号对被感染计算机进行近距离控制。

　　根据俄罗斯信息安全企业卡巴斯基实验室的数据，“火焰”攻击主要集中在中东地区：伊朗189起、约旦河西岸98起、苏丹32起、叙利亚30起，黎巴嫩、沙特和埃及也发现该病毒的存在。位于日内瓦的国际电信联盟说，“火焰”是危险的间谍工具，可以用于攻击关键的基础设施。这是该组织目前发出的最严肃的警告。反病毒软件公司赛门铁克表示，“火焰”的一些特点是前所未见的，它的复杂性犹如“用核武器去砸核桃”。

　　迈克菲公司的马库斯说，尽管“火焰”在复杂程度等方面超出此前发现的类似病毒，但现在要确定其在计算机病毒、甚至网络间谍发展史中的位置还为时过早。

(责任编辑：)