“火焰”病毒分析报告

2012-6-7 22:57 发布者: 老五 阅读:1288

病毒描述
病毒名称 : Worm/Flame
文件MD5 : bdc9e04388bda8527b398a8c34667e18
文件大小 : 6,166,528 字节
编写环境 : VC++
是否加壳 : 否


文档公开级别 : 完全公开


病毒执行体描述:
Worm/Flame的主要模块是mssecmgr.ocx,其中包含了所需执行和部署的额外模块,该模块有一些不同的版本,我们发现的是大小为6M的。运行后会通过资源释放的方式把不同模块解密释放出来,分别注入到不同进程中,功能模块具有获取被感染计算机操作系统的各种信息的功能,记录到的信息会保存在%SystemRoot%temp文件夹下;还会和恶意攻击者指定的服务器进行连接,试图下载额外的模块。运行时,该病毒首先会判断操作系统是否为其要攻击的目标,如果不是则会把自身进行卸载。该病毒体积之所以很庞大的原因是因为有多个功能模块。该病毒可以通过移动存储介质进行传播。


病毒行为流程分析:

一.
Rundll32 mssecmgr.ocx,DDEnumCallback,会在C:Program Files Common FilesMicrosoft SharedMSAudio目录下创建一个加密文件wpgfilter.dat,向注册表HKLMSYSTEMCurrentControlSetControlLsa的键值Authentication Packages写入数据mssecmgr.ocx,然后会向services.exe进程注入恶意代码。


病毒写入注册表


二.
恶意代码注入到services.exe进程后,会映射shell32.dll,在内存中把shell32.dll进行清零,将mssecmgr.ocx拷贝到其所在的内存中,从而可以进行更多的恶意操作。


网络行为:
http://windowsupdate.microsoft.com/windowsupdate/v6/default.aspx
https://traffic-spot.com
https:// traffic-spot.biz
https://smart-access.net
https://quick-net.info
其中traffic-spot.com、traffic-spot.biz、raffic-spot.biz和quick-net.info的ip地址都是91.135.66.118


释放的文件:

mssecmgr.ocx加载后会释放如下文件:
%SystemRoot%system32advnetcfg.ocx
%SystemRoot%system32boot32drv.sys
%SystemRoot%system32msglu32.ocx
%SystemRoot%system32nteps32.ocx
%SystemRoot%system32soapr32.ocx
%SystemRoot%system32cclac32.sys

各模块运行后所产生的记录系统各项信息的文件:
%SystemRoot%temp~DEB93D.tmp
%SystemRoot%temp~HLV084.tmp
%SystemRoot%temp~HLV294.tmp
%SystemRoot%temp~HLV473.tmp
%SystemRoot%temp~HLV751.tmp
%SystemRoot%temp~HLV927.tmp
%SystemRoot%temp~KWI988.tmp
%SystemRoot%temp~rf288.tmp

各模块的配置信息和自身的副本文件以及下载的文件:
%ProgramFiles%Common FilesMicrosoft SharedMSAudioaudfilter.dat
%ProgramFiles%Common FilesMicrosoft SharedMSAudiodstrlog.dat
%ProgramFiles%Common FilesMicrosoft SharedMSAudiolmcache.dat
%ProgramFiles%Common FilesMicrosoft SharedMSAudiontcache.dat
%ProgramFiles%Common FilesMicrosoft SharedMSAudiowpgfilter.dat
%ProgramFiles%Common FilesMicrosoft SharedMSAudiowavesup3.drv

日志文件:
%SystemRoot%Ef_trace.log

根据病毒自身的资源配置信息还可能存在如下目录:
%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgr
%ProgramFiles%Common FilesMicrosoft SharedMSAuthCtrl
%ProgramFiles%Common FilesMicrosoft SharedMSAPackages
%ProgramFiles%Common FilesMicrosoft SharedMSSndMix


病毒技术要点
Worm/Flame运行后会向services.exe、winlogon.exe、explorer.exe、iexplore.exe等进程中注入恶意代码实现的自身加载,进行网络访问的时候,先接微软的升级服务器,然后就开始连接恶意攻击者指定的服务器进行下载其它恶意程序、接收恶意攻击者指令等操作。同时,该病毒还能发现周围的设备,通过蓝牙装置可以查找到移动设备。



病毒清理流程

进入安全模式删除以下文件:
%SystemRoot%system32advnetcfg.ocx
%SystemRoot%system32boot32drv.sys
%SystemRoot%system32msglu32.ocx
%SystemRoot%system32nteps32.ocx
%SystemRoot%system32soapr32.ocx
%SystemRoot%system32cclac32.sys
%SystemRoot%temp目录下的所有文件
%ProgramFiles%Common FilesMicrosoft SharedMSAudio目录及其中的所有文件
%ProgramFiles%Common FilesMicrosoft SharedMSSecurityMgr目录及其中的所有文件
%ProgramFiles%Common FilesMicrosoft SharedMSAuthCtrl目录及其中的所有文件
%ProgramFiles%Common FilesMicrosoft SharedMSAPackages目录及其中的所有文件
%ProgramFiles%Common FilesMicrosoft SharedMSSndMix目录及其中的所有文件

删除病毒修改过的注册表项:
HKLMSYSTEMCurrentControlSetControlLsa键值Authentication Packages中的数据mssecmgr.ocx


关注公众号:Mcbang_com 了解更多精彩!

关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接