瑞星“超级火焰”病毒(Worm.Win32.Flame)技术分析报告
2012-06-05 13:28:332.Nteps32.dll模块
Nteps32.dll被services.exe通过通用的注入手法注入到winlogon.exe和explorer.exe中,并常驻运行。Nteps32.dll加载后会将自身与boot32drv.sys这两个文件的时间(创建、访问、写入)同步成与kernel32.dll一样。除此之外,nteps32.dll不主动执行任何动作。Nteps32.dll包含以下行为:
1. 针对卡巴斯基软件做了特别详细的检测
独立检测了avp.exe进程,同时也检测了相关的注册表键:
HKLM\SOFTWARE\KasperskyLab
HKLM\SOFTWARE\KasperskyLab\AVP6
HKLM\SOFTWARE\KasperskyLab\protected\AVP7
2. 检测大多数(超过50多个进程)的反病毒、防火墙以及其他泛安全产品的进程。以下列举一部分,主要为国外流行的反病毒软件
netmon.exe,mpsvc.exe,licwiz.exe,kavmm.exe,kav.exe,ike.exe,fprottray.exe,fpavserver.exe,emlproxy.exe,emlproui.exe,
elogsvc.exe,configmgr.exe,cclaw.exe,avpm.exe,avp.exe,avgupsvc.exe,avgrssvc.exe,avginet.exe,avgfwsrv.exe,avgemc.exe,
avgcc.exe,avgamsvr.exe
目前还无法确定是否会有主动结束这些安全软件的行为。
3. 有选择性地记录键盘记录
键盘记录的相关输出文件为:
%WINDIR%\temp\HLV473_tmp或%WINDIR%\temp\~HLV927.tmp。
键盘记录功能的实现较为简单,主要通过调用以下API实现:
GetForegroundWindow
GetKeyState
GetKeyboardLayout
MapVirtualKeyExA
MapVirtualKeyA
ToUnicodeEx
4. 有选择性地截取活动窗口图像
配置数据存放于boot32drv.sys,该文件由services.exe创建。
输出文件:%WINDIR%\temp\~HLV084.tmp或%WINDIR%\temp\~HLV294.tmp。
屏幕截取功能的实现较为简单,主要通过调用以下API实现:
GetForegroundWindow
GetWindowTextW
CreateCompatibleDC
CreateCompatibleBitmap
BitBlt
当计算机进入屏幕保护状态时,截屏功能将停止。
5. 收集InternetExplorer中的电子邮件地址
通过创建CLSID_ShellWindows来枚举InternetExplorer窗口,并搜索包含以下关键字的邮件地址:
ymail.com
rocketmail.com
yahoo.com
gawab.com
maktoob.com
gmail.com
live.com
hotmail.com