Flame命令伺服器有85個網域，透過Windows漏洞散布

微軟本周證實，被視為有史以來最強大間諜程式的Flame是透過Windows的漏洞進行散布，同時網域名稱服務供應商OpenDNS則指出，駭客至少註冊了85個網域名稱來代管Flame的命令及控制伺服器，並透露，第一個網域名稱是在2008年3月就註冊，顯示此一攻擊行動的規畫應可追溯到4年前。

根據資安業者的分析，Flame為一非常龐大且精細的蠕蟲，具有可擴充與更新的模組化功能，能夠側錄鍵盤、複製螢幕內容及語音通訊、偵測網路流量，目的是蒐集機密組織的情報、電子郵件、訊息及討論等，目前主要受害的地區為伊朗與其他中東國家。

微軟安全回應中心總監Mike Reavey本周證實，有些Flame元件取得了可顯示為微軟出品的憑證。微軟研究後發現，提供客戶核准遠端桌面服務的Terminal Server Licensing Service密碼運算遭破解，駭客用來將其程式顯示為微軟產品，該漏洞影響所有的Windows版本。

微軟除了發布安全警告外，也執行了自動更新，並且封鎖Terminal Server Licensing Service的憑證頒布功能，並將已頒布的3個憑證列入不可信賴名單中。

另一方面，網域名稱服務供應商OpenDNS技術長Dan Hubbard指出，該機構與卡巴斯基實驗室合作偵測Flame的命令暨控制架構，發現至少有85個網域名稱被嵌入Flame中，而且這85個網域名稱是透過不同的20家機構進行註冊的，其中一個網域是在2008年3月就已註冊。

卡巴斯基實驗室全球研究暨分析負責人Alexander Gostev表示，過去四年來，駭客總計以偽造的身份註冊了逾80個網域名稱，Flame的命令暨控制伺服器的移動位置遍及香港、土耳其、德國、波蘭、馬來西亞、瑞士或其他國家。受到Flame危害的前三個國家依序是伊朗、以色列及巴基斯坦、蘇丹，感染案例分別有185個、95個與32個，美國亦有11個感染案例。（編譯/陳曉莉）