瑞星“超级火焰”病毒(Worm.Win32.Flame)技术分析报告
2012-06-05 13:28:333.rpcns4.ocx模块
主要负责搜集系统信息,收集的信息可以用来识别用户计算机可被用来进行网络攻击的切入点。具体的信息如下:
1. 获取系统进程信息
3. 枚举系统服务状态、打印机和打印服务信息
枚举系统打印机,打印服务相关信息
4. 通过遍历用户文档目录来获取所有用户信息,通过遍历程序安装目录获取用户安装的程序信息
用户目录信息如:
Administrator/All Users/Default User/LocalService/NetworkService
5. 通过注册表获取系统自带软件相关信息,获取的注册表位置如下(部分)
SOFTWARE\Microsoft\Internet Explorer\Version
SOFTWARE\Microsoft\Outlook Express\Version Info\CurrentOutlook.Application\CurVer
SYSTEM\CurrentControlSet\Control\Nls\CodePage\MACCP OEMCP
6. 获取用户系统服务配置信息
SYSTEM\CurrentControlSet\Control\Terminal Server\fDenyTSConnections
SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List Software\Microsoft\Terminal Server Client\Default
7. 获取网卡信息、网络协议、网络配置信息、网络共享信息等
8. 获取IE相关配置信息和host文件信息
Software\Microsoft\Windows\CurrentVersion\Internet Settings GlobalUserOffline Software\Microsoft\Internet Connection Wizard Completed
http\shell\open\command C:\Program Files\Internet Explorer\iexplore.exe" -nohome"
9. 获取系统已安装的防御软件信息
SOFTWARE\Tiny Software\Tiny Firewall"
SOFTWARE\Kerio
SOFTWARE\FarStone\FireWall
SOFTWARE\KasperskyLab\avp6\settings
SOFTWARE\KasperskyLab\avp6\settings
SOFTWARE\Symantec\SymSetup\Internet security
SOFTWARE\Symantec\InstalledApps
10. 获取的信息加密后保存到系统临时目录中
~mso2a0.tmp ~mso2a2.tmp
4. advnetcfg.ocx模块
经分析判断,advnetcfg.ocx模块中包含如下功能:
1. 获取磁盘上黑客感兴趣的文件信息
2. 窗口屏幕的截取
3. DLL注入功能模块