瑞星“超級火焰”病毒(Worm.Win32.Flame)技術分析報告
2012-06-05 13:28:33摘要:Worm.Win32.Flame又稱“超級火焰”病毒,是瑞星最新捕獲到的一種新型電腦蠕蟲病毒。該病毒結構復雜,破壞力強,比以前發現的Worm.Win32.Stuxnet(超級工廠)和Trojan.Win32.Duqu(毒趣)有過之而無不及。
2.4模塊詳細分析
1.MSSECMGR.OCX模塊
MSSECMGR.OCX是主模塊,該模塊會被注入到不同的進程中(services.exe,explorer.exe等),該模塊的主要功能有:
1.?控制整個病毒的運行流程
2.?解密釋放出其他各功能模塊
3.?遠程注入功能的實現,詳細分析見技術細節
4.?開啟HTTP服務,處理HTTP請求。使用Windows提供的HTTP Server系列函數完成HTTP服務功能
5.?打開錄音等設備,后臺錄音
6.?連接網絡服務器,下載和更新
7.? 藍牙設備的收集
通過調用bthprops.cpl導出的一下函數進行藍牙設備的搜索和可連接性判斷:
BluetoothFindFirstRadio
BluetoothFindRadioClose
BluetoothIsConnectable
BluetoothIsDiscoverable
BluetoothFindDeviceClose
BluetoothFindFirstDevice
BluetoothFindNextDevice
8.?自身的傳播
該蠕蟲接收命令后會通過局域網共享、移動介質和系統漏洞進行傳播。目前可以確定的是利用了MS10-061漏洞,提醒用戶安裝相應補丁。
[責任編輯:楊勇]
