資源描述:
《“火焰”病毒分析》由會(huì)員上傳分享����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫��。
1����、火焰病毒分析一��、病毒簡介與特性2012年5月�����,關(guān)于Flame病毒(伊朗譯為“火焰”����,也有的實(shí)驗(yàn)室稱其為“skyWiper”)的相關(guān)報(bào)道橫空問世,其感染范圍主要是中東地區(qū).該病毒的體積十分龐大并且結(jié)構(gòu)極為復(fù)雜�,被稱為有史以來最復(fù)雜的病毒,它由一個(gè)20MB大小的模塊包組成����,共包含20個(gè)模塊���,且每個(gè)模塊有著不同的作用,病毒編制使用了至少5種加密算法�、3種壓縮算法、5種文件格式����。受害者波及范圍廣泛,從個(gè)人到國家機(jī)構(gòu)及學(xué)術(shù)和教育體系等���。據(jù)外界現(xiàn)有分析�,該惡意軟件已經(jīng)非常謹(jǐn)慎地運(yùn)作了至少兩年時(shí)間����,它不但能夠竊取文件,對用戶臺(tái)式機(jī)進(jìn)行截屏�,通過USB驅(qū)動(dòng)傳播,禁用安全廠商的安全產(chǎn)品�����,
2���、并可以在—定條件下傳播到其他系統(tǒng)��,還有可能利用微軟Windows系統(tǒng)的已知或已修補(bǔ)的漏洞發(fā)動(dòng)攻擊��,進(jìn)而在特定網(wǎng)絡(luò)中大肆傳播Ⅲ.“火焰”病毒特性通過研究分析發(fā)現(xiàn)該病毒會(huì)利用特殊軟件仔細(xì)選擇攻擊的地域和目標(biāo)這寧趨級武器”(Duqu)病毒攻擊方式大不相同.”火焰”病毒是—種比Duqu更為復(fù)雜的攻擊工具包�����,具有蠕蛐特征�����,其主要特性是捕獲數(shù)據(jù)和竊取信息�����,該威脅的攻擊目標(biāo)主要分布在歐洲東部和中部���。在滿足條件的情況下,該病毒可在局域網(wǎng)和可移動(dòng)介質(zhì)上進(jìn)行復(fù)制.—旦某計(jì)算機(jī)系統(tǒng)被感染���,”火焰”病毒就開始-系列的操作�����,通過連接火焰的C&C(Command&Control)服務(wù)器��,攻擊者能夠
3��、獲取網(wǎng)絡(luò)流量截屏���、錄a�、捕獲鍵盤等數(shù)據(jù)�。并利用加載其它模塊,擴(kuò)大自身的功能特性����。研究表明在火焰病毒代碼中使用了罕見的Lua語言:通常情況下為了便于隱藏惡意程序都是采用簡潔的程序語訇出膏編寫,而“火焰”并非如此�,使用大量代碼進(jìn)行隱藏是該病毒的新特性之一:它的另—特性則是可以i己錄來自洼接或內(nèi)置話筒的音頻文件,并能夠通過多種方法竊取數(shù)據(jù)信息��;”火焰”的第三個(gè)特性主要是針對藍(lán)牙設(shè)備的控制和管理��,當(dāng)連接計(jì)算機(jī)系統(tǒng)的藍(lán)牙設(shè)備處于開啟狀態(tài)�����,并進(jìn)行數(shù)據(jù)傳輸時(shí)��,“火焰”病毒則會(huì)收集傳輸?shù)臄?shù)據(jù)。通過環(huán)境配置����,它可以將被感染的機(jī)器變成跳板,通過藍(lán)牙提供并顯示該病毒在該機(jī)器上運(yùn)行的有關(guān)信息.
4�、一、病毒行為概述2.1病毒創(chuàng)建的目錄:C:ProgramFilesCommonFilesMicrosoftSharedMSSecurityMgr2.2病毒生成的文件::C:WINDOWSEf_trace.logC:WINDOWSsystem32mssecmgr.ocxC:WINDOWSsystem32teps32.ocxC:WINDOWSsystem32boot32drv.sysC:WINDOWSsystem32advnetcfg.ocxC:WINDOWSsystem32ccalc32.sysC:WINDOWSsyste
5�����、m32msglu32.ocxC:WINDOWSsystem32soapr32.ocxC:WINDOWStemp~HLV473.tmpC:WINDOWStemp~HLV927.tmpC:WINDOWStemp~HLV084.tmpC:WINDOWSTemp~ms02aO.tmpC:WINDOWSTEMP~dra53.tmpC:WINDOWSTEMP~rf288h.tmpC:ProgramFilesCommonFilesMicrosoftSharedMSSecurityMgrmscrypt.datC:ProgramFi
6�����、lesCommonFilesMicrosoftSharedMSSecurityMgrssitableC:ProgramFilesCommonFilesMicrosoftSharedMSSecurityMgrrccache.datC:ProgramFilesCommonFilesMicrosoftSharedMSSecurityMgrlmcache.datC:ProgramFilesCommonFilesMicrosoftSharedMSSecurityMgrtcache.datC:ProgramFilesCommonFiles
7��、MicrosoftSharedMSSecurityMgrdstrlogh.dat2.3病毒新增的注冊表項(xiàng):HKLMSYSTEMCurrentControISetControILsaAuthenticationPackages="mssecmgr.ocx"二�����、病毒主要模塊與模塊危害模塊名稱模塊危害mssecmgr.ocx主模塊運(yùn)行后會(huì)將其資源文件中的多個(gè)功能模塊解密釋放出來���,并將它們注入到多個(gè)系統(tǒng)進(jìn)程中。它通過調(diào)用Lua來執(zhí)行腳本完成指定功能����。advnetcfg.ocx由主模塊釋放:截取屏幕信息��。msglu32.ocx由主模
