黄色片免费看,日韩精品福利

瑞星“超級(jí)火焰”病毒（Worm.Win32.Flame）技術(shù)分析報(bào)告

2012-06-05 13:28:33

摘要：Worm.Win32.Flame又稱“超級(jí)火焰”病毒，是瑞星最新捕獲到的一種新型電腦蠕蟲(chóng)病毒。該病毒結(jié)構(gòu)復(fù)雜，破壞力強(qiáng)，比以前發(fā)現(xiàn)的Worm.Win32.Stuxnet（超級(jí)工廠）和Trojan.Win32.Duqu（毒趣）有過(guò)之而無(wú)不及。

2.Nteps32.dll模塊

Nteps32.dll被services.exe通過(guò)通用的注入手法注入到winlogon.exe和explorer.exe中，并常駐運(yùn)行。Nteps32.dll加載后會(huì)將自身與boot32drv.sys這兩個(gè)文件的時(shí)間（創(chuàng)建、訪問(wèn)、寫入）同步成與kernel32.dll一樣。除此之外，nteps32.dll不主動(dòng)執(zhí)行任何動(dòng)作。Nteps32.dll包含以下行為：

1.?針對(duì)卡巴斯基軟件做了特別詳細(xì)的檢測(cè)

獨(dú)立檢測(cè)了avp.exe進(jìn)程，同時(shí)也檢測(cè)了相關(guān)的注冊(cè)表鍵：

HKLM\SOFTWARE\KasperskyLab

HKLM\SOFTWARE\KasperskyLab\AVP6

HKLM\SOFTWARE\KasperskyLab\protected\AVP7

2.?檢測(cè)大多數(shù)（超過(guò)50多個(gè)進(jìn)程）的反病毒、防火墻以及其他泛安全產(chǎn)品的進(jìn)程。以下列舉一部分，主要為國(guó)外流行的反病毒軟件

netmon.exe,mpsvc.exe,licwiz.exe,kavmm.exe,kav.exe,ike.exe,fprottray.exe,fpavserver.exe,emlproxy.exe,emlproui.exe,

elogsvc.exe,configmgr.exe,cclaw.exe,avpm.exe,avp.exe,avgupsvc.exe,avgrssvc.exe,avginet.exe,avgfwsrv.exe,avgemc.exe,

avgcc.exe,avgamsvr.exe

目前還無(wú)法確定是否會(huì)有主動(dòng)結(jié)束這些安全軟件的行為。

3.?有選擇性地記錄鍵盤記錄

鍵盤記錄的相關(guān)輸出文件為：

%WINDIR%\temp\HLV473_tmp或%WINDIR%\temp\~HLV927.tmp。

鍵盤記錄功能的實(shí)現(xiàn)較為簡(jiǎn)單，主要通過(guò)調(diào)用以下API實(shí)現(xiàn)：

GetForegroundWindow

GetKeyState

GetKeyboardLayout

MapVirtualKeyExA

MapVirtualKeyA

ToUnicodeEx

4.?有選擇性地截取活動(dòng)窗口圖像

配置數(shù)據(jù)存放于boot32drv.sys，該文件由services.exe創(chuàng)建。

輸出文件：%WINDIR%\temp\~HLV084.tmp或%WINDIR%\temp\~HLV294.tmp。

屏幕截取功能的實(shí)現(xiàn)較為簡(jiǎn)單，主要通過(guò)調(diào)用以下API實(shí)現(xiàn)：

GetForegroundWindow

GetWindowTextW

CreateCompatibleDC

CreateCompatibleBitmap

BitBlt

當(dāng)計(jì)算機(jī)進(jìn)入屏幕保護(hù)狀態(tài)時(shí)，截屏功能將停止。

5.?收集InternetExplorer中的電子郵件地址

通過(guò)創(chuàng)建CLSID_ShellWindows來(lái)枚舉InternetExplorer窗口，并搜索包含以下關(guān)鍵字的郵件地址：

ymail.com

rocketmail.com

yahoo.com

gawab.com

maktoob.com

gmail.com

live.com

hotmail.com

3/5 首頁(yè) 上一頁(yè) 1 2 3 4 5 下一頁(yè) 尾頁(yè)

[責(zé)任編輯：楊勇]

日韩在线视频播放_亚洲精品不卡无码福利在线观看_天天摸日日添狠狠添婷婷_日韩无码中文字幕亚洲_国产一级性爱免费片

瑞星

瑞星“超級(jí)火焰”病毒（Worm.Win32.Flame）技術(shù)分析報(bào)告

相關(guān)文章: