瑞星“超級火焰”病毒（Worm.Win32.Flame）技術(shù)分析報告

一、概述

Worm.Win32.Flame又稱“超級火焰”病毒，是瑞星最新捕獲到的一種新型電腦蠕蟲病毒。該病毒結(jié)構(gòu)復(fù)雜，破壞力強，比以前發(fā)現(xiàn)的Worm.Win32.Stuxnet（超級工廠）和Trojan.Win32.Duqu（毒趣）有過之而無不及。

該蠕蟲病毒運行后在感染的機器上安裝后門，可以接收來自網(wǎng)絡(luò)上的多個服務(wù)器的指令。病毒運行后會記錄用戶密碼和按鍵信息，后臺錄音，并將病毒作者感興趣的文件等信息發(fā)送給遠端控制服務(wù)器。

病毒主體為一個DLL動態(tài)庫，文件名為MSSECMGR.OCX。通過命令行rundll32.exe MSSECMGR.OCX, DDEnumCallback 加載病毒。病毒運行后會將自身復(fù)制到System32目錄下。病毒運行后會向services.exe、winlogon.exe、explorer.exe和iexplore.exe中注入自身并加載。

二、詳細(xì)分析

2.1感染現(xiàn)象

1. 病毒創(chuàng)建的目錄：C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\

2. 病毒生成的文件：

C:\WINDOWS\Ef_trace.log

C:\WINDOWS\system32\mssecmgr.ocx

C:\WINDOWS\system32\nteps32.ocx

C:\WINDOWS\system32\boot32drv.sys

C:\WINDOWS\system32\advnetcfg.ocx

C:\WINDOWS\system32\ccalc32.sys

C:\WINDOWS\system32\msglu32.ocx

C:\WINDOWS\system32\soapr32.ocx

C:\WINDOWS\temp\~HLV473.tmp

C:\WINDOWS\temp\~HLV927.tmp

C:\WINDOWS\temp\~HLV084.tmp

C:\WINDOWS\Temp\~mso2a0.tmp

C:\WINDOWS\TEMP\~dra53.tmp

C:\WINDOWS\TEMP\~rf288h.tmp

C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\mscrypt.dat

C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\ssitable

C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\rccache.dat

C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\lmcache.dat

C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\ntcache.dat

C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\dstrlogh.dat

3. 病毒新增的注冊表項：HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages = " mssecmgr.ocx"

4. 病毒訪問的網(wǎng)絡(luò)地址:

65.55.57.*:443

91.135.66.*:80

2.2模塊列表

mssecmgr.ocx為病毒主模塊，資源中存放著所有的功能模塊。蠕蟲運行后釋放出的功能模塊如下:

2.3運行流程

注入流程

模塊釋放加載

 1/5    1 2 3 4 5 下一頁 尾頁

相關(guān)文章:

• 瑞星手機安全軟件再升級 新增一鍵優(yōu)化、程序鎖功能
• 瑞星綜述：上周(05.28-06.03)病毒與安全趨勢回顧
• 瑞星安全周報（2012.06.04－2012.06.10）
• 計算機病毒嚴(yán)重影響你的上網(wǎng)速度
• 安全第一 第三層交換機預(yù)防病毒能力
• 瑞星首發(fā)“超級火焰”專殺工具 免費供用戶防御史上最強病毒
• 深度分析 注意智能手機電池六大事項
• 瑞星緊急發(fā)布紅色安全警報 “超級火焰”病毒已入侵我國
• 瑞星2012防火墻還孩子純凈網(wǎng)絡(luò)天空
• 中東上萬臺電腦發(fā)現(xiàn)Flame新型蠕蟲病毒