“火焰”病毒分析.docx

火焰病毒分析 病毒简介与特性 2012年5月，关于Flame病毒（伊朗译为“火焰”，也有的实验室称其为“skyWiper”）的相关报道横空问世，其感染范围主要是中东地区．该病毒的体积十分庞大并且结构极为复杂，被称为有史以来最复杂的病毒，它由一个20MB大小的模块包组成，共包含20个模块，且每个模块有着不同的作用，病毒编制使用了至少5种加密算法、3种压缩算法、5种文件格式。受害者波 及范围广泛，从个人到国家机构及学术和教育体系等。 据外界现有分析，该恶意软件已经非常谨慎地运作了至少两年时间，它不但能够窃取文件，对用户台式机进行截屏，通过USB驱动传播，禁用安全厂商的安全产品，并可以在—定条件下传播到其他系统，还有可能利用微软Windows系统的已知或已修补的漏洞发动攻击，进而在特定网络中大肆传播Ⅲ． “火焰”病毒特性 通过研究分析发现该病毒会利用特殊软件仔细选择攻击的地域和目标这宁趋级武器”( Duqu)病毒攻击方式大不相同．”火焰”病毒是—种比Duqu更为复杂的攻击工具包，具有蠕蛐特征，其主要特性是捕获数据和窃取信息，该威胁的攻击目标主要分布在欧洲东部和中部。在满足条件的情况下，该病毒可在局域网和可移动介质上进行复制．—旦某计算机系统被感染，”火焰”病毒就开始-系列的操作，通过连接火焰的CC( CommandControl)服务器，攻击者能够获取网络流量截屏、录a、捕获键盘等数据。并利用加载其它模块，扩大自身的功能特性。 研究表明在火焰病毒代码中使用了罕见的Lua语言：通常情况下为了便于隐藏恶意程序都是采用简洁的程序语訇出膏编写，而“火焰”并非如此，使用大量代码进行隐藏是该病毒的新特性之一：它的另—特性则是可以i己录来自洼接或内置话筒的音频文件，并能够通过多种方法窃取数据信息；”火焰”的第三个特性主要是针对蓝牙设备的控制和管理，当连接计算机系统的蓝牙设备处于开启状态，并进行数据传输时，“火焰”病毒则会收集传输的数据。通过环境配置，它可以将被感染的机器变成跳板，通过蓝牙提供并显示该病毒在该机器上运行的有关信息． 病毒行为概述 病毒创建的目录： C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\ 病毒生成的文件: : C:\WIN DOWS\Ef_trace.log C:\WIN DOWS\system32\mssecmgr.ocx C:\WIN DOWS\system32\nteps32.ocx C:\WIN DOWS\system32\boot32drv.sys C:\WIN DOWS\system32\advnetcfg.ocx C:\WINDOWS\system32\ccalc32.sys C:\WIN DOWS\system32\msglu32.ocx C:\WIN DOWS\system32\soapr32.ocx C:\WINDOWS\temp\~HLV473.tmp C:\WINDOWS\temp\~HLV927.tmp C:\WINDOWS\temp\~HLV084.tmp C:\WINDOWS\Temp\~ms02aO.tmp C:\WINDOWS\TEMP\~dra53.tmp C:\WINDOWS\TEMP\~rf288h.tmp C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\mscrypt.dat C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\ssitable C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\rccache.dat C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\lmcache.dat C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\ntcache.dat C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\dstrlogh.dat 病毒新增的注册表项： HKLM\SYSTEM\CurrentControISet\ControI\Lsa\Authentication Packages = mssecmgr.ocx 病毒主要模块与模块危害 模块名称 模块危害 mssecmgr.ocx 主模块运行后会将其资源文件中的多个功能模块解密释放出来，并将它们注入到多个系统进