“火焰”病毒分析報告
病毒描述 病毒名稱 : Worm/Flame 文件MD5 : bdc9e04388bda8527b398a8c34667e18 文件大小 : 6,166,528 位元組 編寫環境 : VC++ 是否加殼 : 否
文檔公開級別 : 完全公開
病毒執行體描述: Worm/Flame的主要模組是mssecmgr.ocx,其中包含了所需執行和部署的額外模組,該模組有一些不同的版本,我們發現的是大小為6M的。運行後會通過資源釋放的方式把不同模組解密釋放出來,分別注入到不同進程中,功能模組具有獲取被感染電腦作業系統的各種資訊的功能,記錄到的資訊會保存在%SystemRoot%\temp檔夾下;還會和惡意攻擊者指定的伺服器進行連接,試圖下載額外的模組。運行時,該病毒首先會判斷作業系統是否為其要攻擊的目標,如果不是則會把自身進行卸載。該病毒體積之所以很龐大的原因是因為有多個功能模組。該病毒可以通過移動存儲介質進行傳播。
病毒行為流程分析:
一. Rundll32 mssecmgr.ocx,DDEnumCallback,會在C:\Program Files\ Common Files\Microsoft Shared\MSAudio目錄下創建一個加密檔wpgfilter.dat,向註冊表HKLM\SYSTEM\CurrentControlSet\Control\Lsa的鍵值Authentication Packages寫入資料mssecmgr.ocx,然後會向services.exe進程注入惡意代碼。
病毒寫入註冊表
二. 惡意代碼注入到services.exe進程後,會映射shell32.dll,在記憶體中把shell32.dll進行清零,將mssecmgr.ocx拷貝到其所在的記憶體中,從而可以進行更多的惡意操作。
網路行為: http://windowsupdate.microsoft.com/windowsupdate/v6/default.aspx https://traffic-spot.com https:// traffic-spot.biz https://smart-access.net https://quick-net.info 其中traffic-spot.com、traffic-spot.biz、raffic-spot.biz和quick-net.info的ip位址都是91.135.66.118
釋放的檔:
mssecmgr.ocx載入後會釋放如下檔: %SystemRoot%\system32\advnetcfg.ocx %SystemRoot%\system32\boot32drv.sys %SystemRoot%\system32\msglu32.ocx %SystemRoot%\system32\nteps32.ocx %SystemRoot%\system32\soapr32.ocx %SystemRoot%\system32\cclac32.sys
各模組運行後所產生的記錄系統各項資訊的檔: %SystemRoot%\temp\~DEB93D.tmp %SystemRoot%\temp\~HLV084.tmp %SystemRoot%\temp\~HLV294.tmp %SystemRoot%\temp\~HLV473.tmp %SystemRoot%\temp\~HLV751.tmp %SystemRoot%\temp\~HLV927.tmp %SystemRoot%\temp\~KWI988.tmp %SystemRoot%\temp\~rf288.tmp
各模組的配置資訊和自身的副本檔以及下載的檔: %ProgramFiles%\Common Files\Microsoft Shared\MSAudio\audfilter.dat %ProgramFiles%\Common Files\Microsoft Shared\MSAudio\dstrlog.dat %ProgramFiles%\Common Files\Microsoft Shared\MSAudio\lmcache.dat %ProgramFiles%\Common Files\Microsoft Shared\MSAudio\ntcache.dat %ProgramFiles%\Common Files\Microsoft Shared\MSAudio\wpgfilter.dat %ProgramFiles%\Common Files\Microsoft Shared\MSAudio\wavesup3.drv
日誌檔: %SystemRoot%\Ef_trace.log
根據病毒自身的資源配置資訊還可能存在如下目錄: %ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr %ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl %ProgramFiles%\Common Files\Microsoft Shared\MSAPackages %ProgramFiles%\Common Files\Microsoft Shared\MSSndMix
病毒技術要點 Worm/Flame運行後會向services.exe、winlogon.exe、explorer.exe、iexplore.exe等進程中注入惡意代碼實現的自身載入,進行網路訪問的時候,先接微軟的升級伺服器,然後就開始連接惡意攻擊者指定的伺服器進行下載其他惡意程式、接收惡意攻擊者指令等操作。同時,該病毒還能發現周圍的設備,通過藍牙裝置可以查找到移動設備。
病毒清理流程
進入安全模式刪除以下檔: %SystemRoot%\system32\advnetcfg.ocx %SystemRoot%\system32\boot32drv.sys %SystemRoot%\system32\msglu32.ocx %SystemRoot%\system32\nteps32.ocx %SystemRoot%\system32\soapr32.ocx %SystemRoot%\system32\cclac32.sys %SystemRoot%\temp\目錄下的所有檔 %ProgramFiles%\Common Files\Microsoft Shared\MSAudio\目錄及其中的所有檔 %ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\目錄及其中的所有檔 %ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\目錄及其中的所有檔 %ProgramFiles%\Common Files\Microsoft Shared\MSAPackages\目錄及其中的所有檔 %ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\目錄及其中的所有檔
刪除病毒修改過的註冊表項: HKLM\SYSTEM\CurrentControlSet\Control\Lsa鍵值Authentication Packages中的資料mssecmgr.ocx
|