瑞星“超级火焰”病毒(Worm.Win32.Flame)技术分析报告
2012-06-05 13:28:33一、概述
Worm.Win32.Flame又称“超级火焰”病毒,是瑞星最新捕获到的一种新型电脑蠕虫病毒。该病毒结构复杂,破坏力强,比以前发现的Worm.Win32.Stuxnet(超级工厂)和Trojan.Win32.Duqu(毒趣)有过之而无不及。
该蠕虫病毒运行后在感染的机器上安装后门,可以接收来自网络上的多个服务器的指令。病毒运行后会记录用户密码和按键信息,后台录音,并将病毒作者感兴趣的文件等信息发送给远端控制服务器。
病毒主体为一个DLL动态库,文件名为MSSECMGR.OCX。通过命令行rundll32.exe MSSECMGR.OCX, DDEnumCallback 加载病毒。病毒运行后会将自身复制到System32目录下。病毒运行后会向services.exe、winlogon.exe、explorer.exe和iexplore.exe中注入自身并加载。
二、详细分析
2.1感染现象
1. 病毒创建的目录:C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\
2. 病毒生成的文件:
C:\WINDOWS\Ef_trace.log
C:\WINDOWS\system32\mssecmgr.ocx
C:\WINDOWS\system32\nteps32.ocx
C:\WINDOWS\system32\boot32drv.sys
C:\WINDOWS\system32\advnetcfg.ocx
C:\WINDOWS\system32\ccalc32.sys
C:\WINDOWS\system32\msglu32.ocx
C:\WINDOWS\system32\soapr32.ocx
C:\WINDOWS\temp\~HLV473.tmp
C:\WINDOWS\temp\~HLV927.tmp
C:\WINDOWS\temp\~HLV084.tmp
C:\WINDOWS\Temp\~mso2a0.tmp
C:\WINDOWS\TEMP\~dra53.tmp
C:\WINDOWS\TEMP\~rf288h.tmp
C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\mscrypt.dat
C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\ssitable
C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\rccache.dat
C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\lmcache.dat
C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\ntcache.dat
C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\dstrlogh.dat
3. 病毒新增的注册表项:HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages = " mssecmgr.ocx"
4. 病毒访问的网络地址:
65.55.57.*:443
91.135.66.*:80
2.2模块列表
mssecmgr.ocx为病毒主模块,资源中存放着所有的功能模块。蠕虫运行后释放出的功能模块如下:
2.3运行流程
注入流程
模块释放加载