FlameをどうやってMicrosoftが見つけたか。

Flame マルウェアの攻撃特徴
Flame は、一部のコンポーネントがマイクロソフトの製品と思い込ませるよう、現在は無効化されているマイクロソフトターミナル サーバー ライセンス サービスの証明書を悪用し自らのコードを署名していました。そして、Windows Vista 以降の OS に対しては、この証明書があっても既定では有効に機能しないため、攻撃者は MD5 ハッシュ衝突攻撃 (Collision Attack) を行い、証明書がコード署名に対して有効であるよう偽造していました。Windows Vista より前の Windows に対しては、この証明書があることで、MD5 ハッシュの衝突なしで攻撃が可能でした。ハッシュ衝突攻撃の詳細に関しては、Security Research & Defense Blog "Flame malware collision attack explained" をご参照ください。
次に、攻撃者は Windows 自動更新の機能を使い、ユーザーのシステムに対して 正規のサーバーではなく、ネットワーク上の感染 PC に誘導を行い、そして、この感染PCが、他の PC にマルウェアを含んだ更新を送信し、偽の Microsoft の証明書によりあたかも正規のソフトウェアと見せかけたマルウェアの配布を試みていました。Windows Update では、承認されていない証明書が使用された場合、中間者攻撃を実行された場合のみ、なりすましが行われます。これに対応するため、マイクロソフトは Windows Update の構造を強化し、追加の保護策を適用しています。
Flame の特徴、どのように発見したか?
マイクロソフトが最初に Flame マルウェアを調査した時、マイクロソフトのルート認証機関にチェーンされた有効なデジタル署名がされたファイルを発見しました。その証明書を確認したところ、いくつかの不正な点がわかりました。
まず、X.509 の拡張領域がなく、ターミナル サーバーのライセンス インフラストラクチャから発行された証明書と一致していませんでした。
また、証明書失効リスト (Certificate Revocation List (CRL))、配布ポイント (Distribution Point (CDP)) 拡張機能、機関情報アクセス (Authority Information Access (AIA)) 拡張機能、および「Microsoft Hydra」のクリティカル拡張機能の情報が欠落していました。
この詳細なデータ構造およびデータに関しては、Security Research & Defense Blog "Flame malware collision attack explained" で詳解されていますので、ご興味のある方はご参照ください。

セキュリティ アドバイザリ 2718704: Flame の攻撃と WU の強化 – 日本のセキュリティチーム