火焰病毒(Flame,又名Flamer,sKyWIper,Skywiper)是一种2012年5月被发现的恶意软件,也译作“超级火焰”,以Lua和C++语言写成,利用微软公司Windows操作系统的两处瑕疵侵入电脑并注入其他程序。大约从2010年开始散播,其所包含的代码量约是之前发现的震网病毒(Stuxnet)或毒区病毒(Duqu)的20倍,被称为有史以来最复杂的恶意软件,在中东大范围传播。
火焰病毒伪装成微软开发的合法程序,侵入个人电脑、窃取私密资料。主要功能在收集个人信息,并上传到网络,以数种方式进行活动,包括录音、截取屏幕画面、侵入邻近的蓝牙设备等。大小约为20MB,包含数个模块,包括解压缩程序库、SQL数据库、和Lua虚拟器等。因为它在收到指令的情况下,会自我删除,而且其注入其他程序后,会将自己所在内存区块设置为用户态不可读、用户态不可写、用户态不可执行,所以很难被用户态下的其它程序侦测出来。
伊朗方面于2012年4月时,称该病毒被其创造者命名为Wiper 。而卡巴斯基则说它和Wiper没有什么关系。尽管以色列副部长摩西的某段讲话似乎暗示了以色列是始作俑者,但目前以色列在受害数量上仅次于伊朗的189起,为89起。
报导声称该恶意软件由美国国家安全局和以色列合作研发。类似震网病毒,可能都在Olympic Games计划下开发出来。印度时报报道,目前有80家来自亚洲、欧洲和北美的服务器在操作这种病毒。美国和以色列都正式否认与此病毒有关。
微软推出KB2718704更新程序来防范该病毒。
值得注意的是,该恶意软件中包含了一个伪造的数字签名。被伪造签名的主体是Microsoft Enforced Licensing Intermediate PCA数字证书认证机构。由于微软在终端服务授权服务证书中,错误地启用了代码签名功能,并且尽管早在2008年便有人成功地伪造了使用MD5作为签名算法的数字证书,这一证书却依旧在使用MD5作为签名算法。这使得伪造该证书变得比较容易。此恶意软件的开发者成功地通过选定前缀攻击法伪造了这一证书,并用于签名该恶意软件,使得它看起来像是来自微软。
