“火焰”病毒分析.docx
- 文档编号:232603
- 上传时间:2022-10-07
- 格式:DOCX
- 页数:16
- 大小:115.40KB
“火焰”病毒分析.docx
《“火焰”病毒分析.docx》由会员分享,可在线阅读,更多相关《“火焰”病毒分析.docx(16页珍藏版)》请在冰豆网上搜索。
火焰病毒分析
一、病毒简介与特性
2012年5月,关于Flame病毒(伊朗译为“火焰”,也有的实验室称其为“skyWiper”)的相关报道横空问世,其感染范围主要是中东地区.该病毒的体积十分庞大并且结构极为复杂,被称为有史以来最复杂的病毒,它由一个20MB大小的模块包组成,共包含20个模块,且每个模块有着不同的作用,病毒编制使用了至少5种加密算法、3种压缩算法、5种文件格式。
受害者波
及范围广泛,从个人到国家机构及学术和教育体系等。
据外界现有分析,该恶意软件已经非常谨慎地运作了至少两年时间,它不但能够窃取文件,对用户台式机进行截屏,通过USB驱动传播,禁用安全厂商的安全产品,并可以在—定条件下传播到其他系统,还有可能利用微软Windows系统的已知或已修补的漏洞发动攻击,进而在特定网络中大肆传播Ⅲ.
“火焰”病毒特性
通过研究分析发现该病毒会利用特殊软件仔细选择攻击的地域和目标这宁趋级武器”(Duqu)病毒攻击方式大不相同.”火焰”病毒是—种比Duqu更为复杂的攻击工具包,具有蠕蛐特征,其主要特性是捕获数据和窃取信息,该威胁的攻击目标主要分布在欧洲东部和中部。
在满足条件的情况下,该病毒可在局域网和可移动介质上进行复制.—旦某计算机系统被感染,”火焰”病毒就开始-系列的操作,通过连接火焰的C&C(Command&Control)服务器,攻击者能够获取网络流量截屏、录a、捕获键盘等数据。
并利用加载其它模块,扩大自身的功能特性。
研究表明在火焰病毒代码中使用了罕见的Lua语言:
通常情况下为了便于隐藏恶意程序都是采用简洁的程序语訇出膏编写,而“火焰”并非如此,使用大量代码进行隐藏是该病毒的新特性之一:
它的另—特性则是可以i己录来自洼接或内置话筒的音频文件,并能够通过多种方法窃取数据信息;”火焰”的第三个特性主要是针对蓝牙设备的控制和管理,当连接计算机系统的蓝牙设备处于开启状态,并进行数据传输时,“火焰”病毒则会收集传输的数据。
通过环境配置,它可以将被感染的机器变成跳板,通过蓝牙提供并显示该病毒在该机器上运行的有关信息.
二、病毒行为概述
2.1病毒创建的目录:
C:
\ProgramFiles\CommonFiles\MicrosoftShared\MSSecurityMgr\
2.2病毒生成的文件:
:
C:
\WINDOWS\Ef_trace.log
C:
\WINDOWS\system32\mssecmgr.ocx
C:
\WINDOWS\system32\nteps32.ocx
C:
\WINDOWS\system32\boot32drv.sys
C:
\WINDOWS\system32\advnetcfg.ocx
C:
\WINDOWS\system32\ccalc32.sys
C:
\WINDOWS\system32\msglu32.ocx
C:
\WINDOWS\system32\soapr32.ocx
C:
\WINDOWS\temp\~HLV473.tmp
C:
\WINDOWS\temp\~HLV927.tmp
C:
\WINDOWS\temp\~HLV084.tmp
C:
\WINDOWS\Temp\~ms02aO.tmp
C:
\WINDOWS\TEMP\~dra53.tmp
C:
\WINDOWS\TEMP\~rf288h.tmp
C:
\ProgramFiles\CommonFiles\MicrosoftShared\MSSecurityMgr\mscrypt.dat
C:
\ProgramFiles\CommonFiles\MicrosoftShared\MSSecurityMgr\ssitable
C:
\ProgramFiles\CommonFiles\MicrosoftShared\MSSecurityMgr\rccache.dat
C:
\ProgramFiles\CommonFiles\MicrosoftShared\MSSecurityMgr\lmcache.dat
C:
\ProgramFiles\CommonFiles\MicrosoftShared\MSSecurityMgr\ntcache.dat
C:
\ProgramFiles\CommonFiles\MicrosoftShared\MSSecurityMgr\dstrlogh.dat
2.3病毒新增的注册表项:
HKLM\SYSTEM\CurrentControISet\ControI\Lsa\AuthenticationPackages="mssecmgr.ocx"
三、病毒主要模块与模块危害
模块名称
模块危害
mssecmgr.ocx
主模块运行后会将其资源文件中的多个功能模块解密释放出来,并将它们注入到多个系统进程中。
它通过调用Lua来执行脚本完成指定功能。
advnetcfg.ocx
由主模块释放:
截取屏幕信息。
msglu32.ocx
由主模块释放:
遍历系统中的各种类型的文件,读取特定文件类型文件的信息,将其写入到SQL数据库中,同时也可以收集文件中与地域性相关的一些信息。
nteps32.ocx
由主模块释放:
用来键盘记录和截取屏幕信息。
对一些邮件域名进行监控
rpcns4.ocx
(soapr32.ocx)
用来收集信息的功能模块。
获取系统中的一些信息的,例如:
安装的软件信息、网络信息、无线网络信息、USB信息、时间以及时区信息等。
00004784.dll
(jimmy.dll)
是用来收集用户计算机信息,包括窗体标题、注册表相关键值信息,计算机名,磁盘类型等。
wusetupv.exe
收集本机各个接口的信息,进程信息,注册表键值信息。
DSMGR.DLL
(browse32.ocx)
用来删除恶意软件所有痕迹,防止取证分析
四、病毒模块功能分析
4.1MSSECMGR.OCX主模块分析
蠕虫主模块是一个文件名为mssecmgr.ocx的DLL文件,我们发现该模块已有多个衍生版本,文件大小为6M,运行后会连接C&C服务器,并试图下载或更新其它模块。
主模块不同时期在被感染的机器上文件名有不同,但扩展名都为“OCX”。
运行后的主模块会将其资源文件中的多个功能模块解密释放出来,并将多个功能模块注入到多个进程中,功能模块具有获取进程信息、键盘信息、硬件信息、屏幕信息、麦克风、存储设备、网络、WIFI、蓝牙、USB等多种信息的功能。
所记录的信息文件存放在%Windir%\temp\下。
该蠕虫会先对被感染系统进行勘察,如果不是其想要的攻击对象,它将会自动从被感染系统卸载掉。
蠕虫最有可能是通过欺骗微软升级服务器对本地网络传播和通过一个USB接入设备进行传播。
蠕虫还能够发现有关其周边设备的信息。
通过蓝牙装置,它会寻找其它设备,比如手机或笔记本电脑等。
此蠕虫和以往蠕虫有很大程度上的不同,首先主模块体积很大,并包含多个功能模块,内嵌Lua解释器和大量Lua脚本,进行高层的功能扩展。
启动方式比较特殊,具有多种压缩和加密方式。
4.1.1该病毒模块本地行为
1)添加注册表:
HKLM_SYSTEM\CurrentControlSet\Control\Lsa
AuthenticationPackages=mssecmgr.ocx
注:
该键值会达到开机加载mssecmgr.ocx的目的。
该文件路径为:
%system32%\mssecmgr.ocx。
2)文件运行后会释放以下文件:
通过对“146”资源进行释放并加载运行,以下为资源释放的模块:
%System32%\advnetcfg.ocx
%System32%\boot32drv.sys
%System32%\msglu32.ocx
%Syste32m%\nteps32.ocx
%Syste32m%\soapr32.ocx
%Syste32m%\ccalc32.sys
其他文件:
%Windir%\Ef_trace.log
在%ProgramFiles%\CommonFiles\MicrosoftShared\MSAudio目录下为各模块的配置信息和自身副本文件,从网络中更新或下载新模块配置也会在这里,列表如下:
Audcache
audfilter.dat
dstrlog.dat
lmcache.dat
ntcache.dat
mscrypt.dat
在分析过程中发现以上文件可能为病毒的配置文件,当病毒要进行一个操作前先读取此文件中的一块信息,然后完成其指定的操作。
病毒先将以上文件释放然后删除一次,最后又重新释放,推测为不同功能之间的重复操作导致。
wavesup3.drv(自身副本)
wpgfilter.dat
跟据“146”资源配置还可能会存在以下文件目录:
%ProgramFiles%\CommonFiles\MicrosoftShared\MSSecurityMgr
%ProgramFiles%\CommonFiles\MicrosoftShared\MSAudio
%ProgramFiles%\CommonFiles\MicrosoftShared\MSAuthCtrl
%ProgramFiles%\CommonFiles\MicrosoftShared\MSAPackages
%ProgramFiles%\CommonFiles\MicrosoftShared\MSSndMix
3)遍历安全进程列表
遍历系统中的安全软件的进程
4.1.2该病毒模块启动加载顺序
该病毒的加载方式有两种,一种是在注册表中添加键值,另一种是利用批处理文件来执行dos命令运行rundll32.exe加载主模块运行。
首先查询注册表HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SeCEdit和查看%ProgramFiles%\CommonFiles\MicrosoftShared\MSAudio\wavesup3.drv文件是否存在。
写入HKLM\System\CurrentControlSet\Control\TimeZoneInformation\StandardSize值为:
114。
创建MSSecurityMgr目录,写入文件mscrypt.dat,在查询信息文件时每查询后会把更改时间写成1601-1-108:
00:
00,经过1分中后写入wpgfilter.dat文件在查询信息文件时每查询后会把更改时间写成1601-1-108:
00:
00,经过1分钟左右后写入wavesup3.drv文件查询后会把更改时间写成1601-1-108:
00:
00,写入文件wavesup3.drv后会写入audcache文件接着写入audfilter.dat文件。
然后查找以下文件:
C:
\DocumentsandSettings\Administrator\LocalSettings\Temp\dat3C.tmp
C:
\DocumentsandSettings\AllUsers\LocalSettings\Temp\dat3C.tmp
C:
\DocumentsandSettings\DefaultUser\LocalSettings\Temp\dat3C.tmp
C:
\DocumentsandSettings\LocalService\LocalSettings\Temp\da
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 火焰 病毒 分析
![提示](https://static.bdocx.com/images/bang_tan.gif)