熄灭“超级火焰”的最后一丝火苗

        2012年5月底，席卷全球的“超级火焰”病毒肆虐到了国内。但国内安全厂商反应十分迅速，5月30日晚，国内知名安全厂商瑞星公司就向全体网民、企业用户和政府用户发布了红色安全警报。而仅隔一天，瑞星公司就快速发布了对付“超级火焰”病毒的解决方案。并在第一时间上线了“超级火焰”病毒的专杀工具，免费向全体用户开放，阻止其在我国肆虐的步伐。与此同时，瑞星公司也对“超级火焰”病毒进行了全面严格都分析和监控。

6月6日，瑞星公司就对外公开了国内首份“超级火焰”病毒的详细技术分析报告，并公布了相应的抵御对策，力图浇熄“超级火焰”在国内的最后一丝火苗。博主也第一时间看到了瑞星的这份分析报告，从瑞星的分析报告中可以看到，“超级火焰”病毒结构复杂，破坏力强，比之前的“Stuxnet超级工厂”和“Duqu毒趣”病毒有过之而无不及。

根据瑞星的分析报告，“超级火焰”病毒的主体为一个名为MSSECMGR.OCX的DLL动态库，通过命令行“rundll32.exe MSSECMGR.OCX, DDEnumCallback”来实现病毒的加载。病毒运行后会将自身复制到System32目录下，并向services.exe、winlogon.exe、explorer.exe和iexplore.exe等程序中注入自身并实现加载。而病毒在入侵电脑后，会在感染的机器上安装后门，接收来自黑客服务器的指令，记录用户密码和按键信息，在后台录音，并将黑客感兴趣的信息发送给远端控制服务器。

之后，该病毒在接收命令后会通过局域网共享、移动介质和MS10-061等系统漏洞进行传播，并对数十种流行的反病毒软件、防火墙和泛安全产品的进程进行检测，并进行破坏。在盗取信息方面，“超级火焰”会有选择地的目标计算机的键盘操作进行记录，有选择性的截取活动窗口图像，收集IE中的电子邮件地址，主动获取系统的服务状态，例如打印和打印机服务信息等，并通过查找用户文档目录的方式来获取所有用户信息，通过查找程序安装目录的方法来获取用户安装的程序信息，并将获取到的信息加密后保存到系统临时目录中。看到这里，博主不禁倒吸了一口凉气，“超级火焰”窃取关键数据的能力可见一斑，一旦国内重要的企业或政府机构感染此病毒，后果将不堪设想。

不过企业和政府大可不必谈虎色变，瑞星公司在分析报告中也列出了相应的抵御对策，由于“超级火焰”病毒主要通过移动存储设备、网络共享和大量系统漏洞和不安全机制实现入侵。所以只要在源头上掐断其传播的途径，“超级火焰”便无可遁形。用户只要做好以下两条防范措施，便可杜绝“超级火焰”的入侵：

l   制定并严格执行企业网络移动存储设备、外来电脑和BYOD接入方式和权限的管理章程，可通过杀毒软件网络版、上网行为管理系统自动进行策略定制和分发执行，避免病毒入侵。

l   “超级火焰”病毒利用大量系统漏洞入侵系统，从瑞星目前分析的结果看，该病毒主要利用了MS10-061、MS10-046、MS10-051等系统漏洞，并且还利用了一个微软早期的加密算法漏洞KB2718704，用户需尽快将这些补丁进行更新。

“超级火焰”是一款专门从事间谍活动的病毒，其盗取的信息包罗万象，包括各种文档、截屏、录音、按键信息、蓝牙信息等，其复杂程度和危害程度大大超过目前已知的所有病毒，对政府、企业和普通用户的危害极大。此次瑞星公司在第一时间面对全国用户发布了红色安全警报、在第一时间上线“超级火焰”病毒专杀工具、并迅速公布详细的技术分析报告，深刻地体现出了以瑞星公司为代表的国内安全厂商雄厚的技术实力以及深厚的社会责任感。博主相信，在“超级火焰”事件后，瑞星公司将继续站在国内反病毒战线的最前线，为政府、企业继续发展保驾护航。