他们也小图标，Flame木马还在发展当中，因为这四种协议对应到服务器端的三个通讯模块，但服务器中还有一个新的通讯模块还未被用到。

　　资讯安全公司卡巴斯基与赛门铁克针对Flame木马进行深入的研究小图标，其背后的开发者可能还另有三个恶意软件未被小图标。另外根据Flame木马的控制服务器记录，该木马可能自2006就已开发，受害的计算机数量可能上万，非仅先前小图标的数百部。

　　卡巴斯基五月底小图标Flame木马之后，协同联合国国际电信联盟(ITU)的资讯安全团队IMPACT、德国联邦信息安全局(BSI)安全与计算机紧急反应小组(CERT –Bund)及资讯安全公司赛门铁克，共同研究该木马的细节。

　　在分析一台位于欧盟某数据中心的木马控制服务器时，小图标该服务器采标准的LAMP(Linux操作系统、Apache网页服务器、MySQL数据库及PHP脚本语言)架构。但该服务器的文件系统使用OpenVZ，不能查看黑客删除了哪些档案，并使用自制软件抹除记录，因此在分析上增加不少困难。不过幸好黑客所制作的灭迹软件并分完美，例如因为拼错字而让灭迹软件无法找到该删除的档案，因此研究人员可以找到不少信息。

　　经过分析之后，卡巴斯基认为Flame木马客户端所使用的通讯协议有四种，目前只辨识出Flame木马所使用的FL协议，其他三种未知的协议IP、SPE、SP可能代表另外三种木马。他们也小图标，Flame木马还在发展当中，因为这四种协议对应到服务器端的三个通讯模块，但服务器中还有一个新的通讯模块还未被用到。

　　最令分析人员意外的是，这些黑客在程序中留有署名及时间戳，研究人员总共找出有四个黑客，并按照其程序设计的分工判断每个人的职责。而藉由时间戳，分析人员认为Flame木马早从2006年就开始研发，远早于先前资讯安全公司的估算。

　　另外，由于黑客没有删除联机记录，资讯安全公司得以分析哪些IP与该服务器联机过，进而得知伊朗有3702台计算机受感染。专家估计，Flame木马的受害者应该有一万以上，远超过刚小图标时已知的382台。

　　先前有媒体报导，Flame等多种中东地区的木马是由美国与以色列连手开发，这几种木马各自有专精的领域。研究单位也小图标Flame与Stuxnet两种木马之间有直接关连。