瑞星“超级火焰”病毒(Worm.Win32.Flame)技术分析报告
2012-06-05 13:28:33摘要:Worm.Win32.Flame又称“超级火焰”病毒,是瑞星最新捕获到的一种新型电脑蠕虫病毒。该病毒结构复杂,破坏力强,比以前发现的Worm.Win32.Stuxnet(超级工厂)和Trojan.Win32.Duqu(毒趣)有过之而无不及。
2.4模块详细分析
1.MSSECMGR.OCX模块
MSSECMGR.OCX是主模块,该模块会被注入到不同的进程中(services.exe,explorer.exe等),该模块的主要功能有:
1. 控制整个病毒的运行流程
2. 解密释放出其他各功能模块
3. 远程注入功能的实现,详细分析见技术细节
4. 开启HTTP服务,处理HTTP请求。使用Windows提供的HTTP Server系列函数完成HTTP服务功能
5. 打开录音等设备,后台录音
6. 连接网络服务器,下载和更新
7. 蓝牙设备的收集
通过调用bthprops.cpl导出的一下函数进行蓝牙设备的搜索和可连接性判断:
BluetoothFindFirstRadio
BluetoothFindRadioClose
BluetoothIsConnectable
BluetoothIsDiscoverable
BluetoothFindDeviceClose
BluetoothFindFirstDevice
BluetoothFindNextDevice
8. 自身的传播
该蠕虫接收命令后会通过局域网共享、移动介质和系统漏洞进行传播。目前可以确定的是利用了MS10-061漏洞,提醒用户安装相应补丁。
[责任编辑:杨勇]