瑞星“超級火焰”病毒(Worm.Win32.Flame)技術分析報告
2012-06-05 13:28:332.Nteps32.dll模塊
Nteps32.dll被services.exe通過通用的注入手法注入到winlogon.exe和explorer.exe中,并常駐運行。Nteps32.dll加載后會將自身與boot32drv.sys這兩個文件的時間(創建、訪問、寫入)同步成與kernel32.dll一樣。除此之外,nteps32.dll不主動執行任何動作。Nteps32.dll包含以下行為:
1.?針對卡巴斯基軟件做了特別詳細的檢測
獨立檢測了avp.exe進程,同時也檢測了相關的注冊表鍵:
HKLM\SOFTWARE\KasperskyLab
HKLM\SOFTWARE\KasperskyLab\AVP6
HKLM\SOFTWARE\KasperskyLab\protected\AVP7
2.?檢測大多數(超過50多個進程)的反病毒、防火墻以及其他泛安全產品的進程。以下列舉一部分,主要為國外流行的反病毒軟件
netmon.exe,mpsvc.exe,licwiz.exe,kavmm.exe,kav.exe,ike.exe,fprottray.exe,fpavserver.exe,emlproxy.exe,emlproui.exe,
elogsvc.exe,configmgr.exe,cclaw.exe,avpm.exe,avp.exe,avgupsvc.exe,avgrssvc.exe,avginet.exe,avgfwsrv.exe,avgemc.exe,
avgcc.exe,avgamsvr.exe
目前還無法確定是否會有主動結束這些安全軟件的行為。
3.?有選擇性地記錄鍵盤記錄
鍵盤記錄的相關輸出文件為:
%WINDIR%\temp\HLV473_tmp或%WINDIR%\temp\~HLV927.tmp。
鍵盤記錄功能的實現較為簡單,主要通過調用以下API實現:
GetForegroundWindow
GetKeyState
GetKeyboardLayout
MapVirtualKeyExA
MapVirtualKeyA
ToUnicodeEx
4.?有選擇性地截取活動窗口圖像
配置數據存放于boot32drv.sys,該文件由services.exe創建。
輸出文件:%WINDIR%\temp\~HLV084.tmp或%WINDIR%\temp\~HLV294.tmp。
屏幕截取功能的實現較為簡單,主要通過調用以下API實現:
GetForegroundWindow
GetWindowTextW
CreateCompatibleDC
CreateCompatibleBitmap
BitBlt
當計算機進入屏幕保護狀態時,截屏功能將停止。
5.?收集InternetExplorer中的電子郵件地址
通過創建CLSID_ShellWindows來枚舉InternetExplorer窗口,并搜索包含以下關鍵字的郵件地址:
ymail.com
rocketmail.com
yahoo.com
gawab.com
maktoob.com
gmail.com
live.com
hotmail.com
