瑞星“超級火焰”病毒(Worm.Win32.Flame)技術分析報告
2012-06-05 13:28:33一、概述
Worm.Win32.Flame又稱“超級火焰”病毒,是瑞星最新捕獲到的一種新型電腦蠕蟲病毒。該病毒結構復雜,破壞力強,比以前發現的Worm.Win32.Stuxnet(超級工廠)和Trojan.Win32.Duqu(毒趣)有過之而無不及。
該蠕蟲病毒運行后在感染的機器上安裝后門,可以接收來自網絡上的多個服務器的指令。病毒運行后會記錄用戶密碼和按鍵信息,后臺錄音,并將病毒作者感興趣的文件等信息發送給遠端控制服務器。
病毒主體為一個DLL動態庫,文件名為MSSECMGR.OCX。通過命令行rundll32.exe MSSECMGR.OCX, DDEnumCallback 加載病毒。病毒運行后會將自身復制到System32目錄下。病毒運行后會向services.exe、winlogon.exe、explorer.exe和iexplore.exe中注入自身并加載。
二、詳細分析
2.1感染現象
1. 病毒創建的目錄:C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\
2. 病毒生成的文件:
C:\WINDOWS\Ef_trace.log
C:\WINDOWS\system32\mssecmgr.ocx
C:\WINDOWS\system32\nteps32.ocx
C:\WINDOWS\system32\boot32drv.sys
C:\WINDOWS\system32\advnetcfg.ocx
C:\WINDOWS\system32\ccalc32.sys
C:\WINDOWS\system32\msglu32.ocx
C:\WINDOWS\system32\soapr32.ocx
C:\WINDOWS\temp\~HLV473.tmp
C:\WINDOWS\temp\~HLV927.tmp
C:\WINDOWS\temp\~HLV084.tmp
C:\WINDOWS\Temp\~mso2a0.tmp
C:\WINDOWS\TEMP\~dra53.tmp
C:\WINDOWS\TEMP\~rf288h.tmp
C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\mscrypt.dat
C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\ssitable
C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\rccache.dat
C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\lmcache.dat
C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\ntcache.dat
C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\dstrlogh.dat
3. 病毒新增的注冊表項:HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages = " mssecmgr.ocx"
4. 病毒訪問的網絡地址:
65.55.57.*:443
91.135.66.*:80
2.2模塊列表
mssecmgr.ocx為病毒主模塊,資源中存放著所有的功能模塊。蠕蟲運行后釋放出的功能模塊如下:
2.3運行流程
注入流程
模塊釋放加載
