6月5日，瑞星公司對外公開了國內首份“超級火焰”病毒的詳細技術分析報告，并公布了相應的抵御對策。分析顯示，“超級火焰”病毒結構復雜，破壞力強，比之前的“Stuxnet超級工廠”和“Duqu毒趣”病毒有過之而無不及。“超級火焰”病毒入侵電腦后，會在感染的機器上安裝后門，并接收來自黑客服務器的指令，記錄用戶密碼和按鍵信息，在后臺錄音，并將黑客感興趣的信息發(fā)送給遠端控制服務器。

　　此次瑞星公司公布的病毒分析報告顯示，“超級火焰”病毒的主體為一個名為MSSECMGR.OCX的DLL動態(tài)庫，通過命令行“rundll32.exe MSSECMGR.OCX, DDEnumCallback”來實現(xiàn)病毒的加載。病毒運行后會將自身復制到System32目錄下，并向services.exe、winlogon.exe、explorer.exe和iexplore.exe等程序中注入自身并實現(xiàn)加載。

　　該病毒進入系統(tǒng)后，會主動創(chuàng)建C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\的目錄，在系統(tǒng)不同目錄中生成多個文件，同時還會新創(chuàng)建HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages = "mssecmgr.ocx"注冊表項，并訪問多臺位于美國和歐洲的服務器。

　　另外，該病毒在接收命令后會通過局域網(wǎng)共享、移動介質和MS10-061等系統(tǒng)漏洞進行傳播，并對數(shù)十種流行的反病毒軟件、防火墻和泛安全產(chǎn)品的進程進行檢測，并嘗試破壞。在盜取信息方面，該病毒會有選擇地對鍵盤操作進行記錄，有選擇性地截取活動窗口圖像，收集IE中的電子郵件地址，主動獲取系統(tǒng)的服務狀態(tài)，例如打印和打印機服務信息等，并通過查找用戶文檔目錄的方式來獲取所有用戶信息，通過查找程序安裝目錄的方法來獲取用戶安裝的程序信息，并將獲取到的信息加密后保存到系統(tǒng)臨時目錄中。

　　報告指出，“超級火焰”病毒主要通過移動存儲設備、網(wǎng)絡共享和大量系統(tǒng)漏洞和不安全機制實現(xiàn)入侵。廣大用戶，尤其是政府和企業(yè)用戶，應及時做好以下防范措施，避免遭受病毒攻擊：

　　目前，瑞星公司已經(jīng)獲取“超級火焰”病毒的完整病毒包并進行了緊急升級，廣大用戶可使用瑞星殺毒軟件(個人級和企業(yè)級)防范查殺“超級火焰”病毒，同時還可下載最新版專殺工具進行專項查殺(下載地址http://.rising/2012/skywlper)

　　制定并嚴格執(zhí)行企業(yè)網(wǎng)絡移動存儲設備、外來電腦和BYOD接入方式和權限的管理章程，可通過瑞星殺毒軟件網(wǎng)絡版、瑞星上網(wǎng)行為管理系統(tǒng)自動進行策略定制和分發(fā)執(zhí)行，避免病毒入侵。

　　在沒有必要的情況下，不要隨意開放網(wǎng)絡共享;需要使用共享時，要配置訪問權限和復雜的訪問密碼。同時，最好關閉Windows系統(tǒng)的默認共享。普通用戶可使用瑞星防火墻進行這項操作。

　　“超級火焰”病毒利用大量系統(tǒng)漏洞入侵系統(tǒng)，從瑞星目前分析的結果看，該病毒主要利用了MS10-061、MS10-046、MS10-051等系統(tǒng)漏洞，并且還利用了一個微軟早期的加密算法漏洞KB2718704，用戶需盡快將這些補丁進行更新。企業(yè)用戶可以直接通過瑞星網(wǎng)絡版殺毒軟件實現(xiàn)系統(tǒng)漏洞的自動更新，個人用戶則可使用瑞星安全助手自動修補。

　　瑞星安全專家表示，Worm.Win32.Flame“超級火焰”是一款從事間諜活動的病毒，其盜取的信息包羅萬象，包括各種文檔、截屏、錄音、按鍵信息、藍牙信息等，復雜程度大大超過目前已知的所有病毒，對政府、企業(yè)和普通用戶的危害極大，建議廣大企事業(yè)單位、政府部門高度重視此病毒，積極做好相對應的安全防范工作。（新華網(wǎng)）