“火焰”病毒分析報告

病毒描述
病毒名稱    :  Worm/Flame
文件MD5     :  bdc9e04388bda8527b398a8c34667e18
文件大小    :  6,166,528 位元組
編寫環境    :  VC++
是否加殼    :  否

文檔公開級別 ： 完全公開

病毒執行體描述：
    Worm/Flame的主要模組是mssecmgr.ocx，其中包含了所需執行和部署的額外模組，該模組有一些不同的版本，我們發現的是大小為6M的。運行後會通過資源釋放的方式把不同模組解密釋放出來，分別注入到不同進程中，功能模組具有獲取被感染電腦作業系統的各種資訊的功能，記錄到的資訊會保存在%SystemRoot%\temp檔夾下；還會和惡意攻擊者指定的伺服器進行連接，試圖下載額外的模組。運行時，該病毒首先會判斷作業系統是否為其要攻擊的目標，如果不是則會把自身進行卸載。該病毒體積之所以很龐大的原因是因為有多個功能模組。該病毒可以通過移動存儲介質進行傳播。

病毒行為流程分析:

一．
Rundll32 mssecmgr.ocx，DDEnumCallback，會在C:\Program Files\ Common Files\Microsoft Shared\MSAudio目錄下創建一個加密檔wpgfilter.dat，向註冊表HKLM\SYSTEM\CurrentControlSet\Control\Lsa的鍵值Authentication Packages寫入資料mssecmgr.ocx，然後會向services.exe進程注入惡意代碼。

                            病毒寫入註冊表

二．
惡意代碼注入到services.exe進程後，會映射shell32.dll，在記憶體中把shell32.dll進行清零，將mssecmgr.ocx拷貝到其所在的記憶體中，從而可以進行更多的惡意操作。

網路行為：
http://windowsupdate.microsoft.com/windowsupdate/v6/default.aspx
https://traffic-spot.com
https:// traffic-spot.biz
https://smart-access.net
https://quick-net.info
其中traffic-spot.com、traffic-spot.biz、raffic-spot.biz和quick-net.info的ip位址都是91.135.66.118

釋放的檔:

mssecmgr.ocx載入後會釋放如下檔：
%SystemRoot%\system32\advnetcfg.ocx
%SystemRoot%\system32\boot32drv.sys
%SystemRoot%\system32\msglu32.ocx
%SystemRoot%\system32\nteps32.ocx
%SystemRoot%\system32\soapr32.ocx
%SystemRoot%\system32\cclac32.sys

各模組運行後所產生的記錄系統各項資訊的檔：
%SystemRoot%\temp\~DEB93D.tmp
%SystemRoot%\temp\~HLV084.tmp
%SystemRoot%\temp\~HLV294.tmp
%SystemRoot%\temp\~HLV473.tmp
%SystemRoot%\temp\~HLV751.tmp
%SystemRoot%\temp\~HLV927.tmp
%SystemRoot%\temp\~KWI988.tmp
%SystemRoot%\temp\~rf288.tmp

各模組的配置資訊和自身的副本檔以及下載的檔：
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\audfilter.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\dstrlog.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\lmcache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\ntcache.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\wpgfilter.dat
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\wavesup3.drv

日誌檔：
%SystemRoot%\Ef_trace.log

根據病毒自身的資源配置資訊還可能存在如下目錄：
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr
%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl
%ProgramFiles%\Common Files\Microsoft Shared\MSAPackages
%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix

病毒技術要點
Worm/Flame運行後會向services.exe、winlogon.exe、explorer.exe、iexplore.exe等進程中注入惡意代碼實現的自身載入，進行網路訪問的時候，先接微軟的升級伺服器，然後就開始連接惡意攻擊者指定的伺服器進行下載其他惡意程式、接收惡意攻擊者指令等操作。同時，該病毒還能發現周圍的設備，通過藍牙裝置可以查找到移動設備。

病毒清理流程

進入安全模式刪除以下檔：
%SystemRoot%\system32\advnetcfg.ocx
%SystemRoot%\system32\boot32drv.sys
%SystemRoot%\system32\msglu32.ocx
%SystemRoot%\system32\nteps32.ocx
%SystemRoot%\system32\soapr32.ocx
%SystemRoot%\system32\cclac32.sys
%SystemRoot%\temp\目錄下的所有檔
%ProgramFiles%\Common Files\Microsoft Shared\MSAudio\目錄及其中的所有檔
%ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\目錄及其中的所有檔
%ProgramFiles%\Common Files\Microsoft Shared\MSAuthCtrl\目錄及其中的所有檔
%ProgramFiles%\Common Files\Microsoft Shared\MSAPackages\目錄及其中的所有檔
%ProgramFiles%\Common Files\Microsoft Shared\MSSndMix\目錄及其中的所有檔

刪除病毒修改過的註冊表項：
HKLM\SYSTEM\CurrentControlSet\Control\Lsa鍵值Authentication Packages中的資料mssecmgr.ocx