瑞星“超級火焰”病毒（Worm.Win32.Flame）技術(shù)分析報告

2.Nteps32.dll模塊

Nteps32.dll被services.exe通過通用的注入手法注入到winlogon.exe和explorer.exe中，并常駐運行。Nteps32.dll加載后會將自身與boot32drv.sys這兩個文件的時間（創(chuàng)建、訪問、寫入）同步成與kernel32.dll一樣。除此之外，nteps32.dll不主動執(zhí)行任何動作。Nteps32.dll包含以下行為：

1.?針對卡巴斯基軟件做了特別詳細的檢測

獨立檢測了avp.exe進程，同時也檢測了相關(guān)的注冊表鍵：

HKLM\SOFTWARE\KasperskyLab

HKLM\SOFTWARE\KasperskyLab\AVP6

HKLM\SOFTWARE\KasperskyLab\protected\AVP7

2.?檢測大多數(shù)（超過50多個進程）的反病毒、防火墻以及其他泛安全產(chǎn)品的進程。以下列舉一部分，主要為國外流行的反病毒軟件

netmon.exe,mpsvc.exe,licwiz.exe,kavmm.exe,kav.exe,ike.exe,fprottray.exe,fpavserver.exe,emlproxy.exe,emlproui.exe,

elogsvc.exe,configmgr.exe,cclaw.exe,avpm.exe,avp.exe,avgupsvc.exe,avgrssvc.exe,avginet.exe,avgfwsrv.exe,avgemc.exe,

avgcc.exe,avgamsvr.exe

目前還無法確定是否會有主動結(jié)束這些安全軟件的行為。

3.?有選擇性地記錄鍵盤記錄

鍵盤記錄的相關(guān)輸出文件為：

%WINDIR%\temp\HLV473_tmp或%WINDIR%\temp\~HLV927.tmp。

鍵盤記錄功能的實現(xiàn)較為簡單，主要通過調(diào)用以下API實現(xiàn)：

GetForegroundWindow

GetKeyState

GetKeyboardLayout

MapVirtualKeyExA

MapVirtualKeyA

ToUnicodeEx

4.?有選擇性地截取活動窗口圖像

配置數(shù)據(jù)存放于boot32drv.sys，該文件由services.exe創(chuàng)建。

輸出文件：%WINDIR%\temp\~HLV084.tmp或%WINDIR%\temp\~HLV294.tmp。

屏幕截取功能的實現(xiàn)較為簡單，主要通過調(diào)用以下API實現(xiàn)：

GetForegroundWindow

GetWindowTextW

CreateCompatibleDC

CreateCompatibleBitmap

BitBlt

當(dāng)計算機進入屏幕保護狀態(tài)時，截屏功能將停止。

5.?收集InternetExplorer中的電子郵件地址

通過創(chuàng)建CLSID_ShellWindows來枚舉InternetExplorer窗口，并搜索包含以下關(guān)鍵字的郵件地址：

ymail.com

rocketmail.com

yahoo.com

gawab.com

maktoob.com

gmail.com

live.com

hotmail.com

 3/5   首頁 上一頁 1 2 3 4 5 下一頁 尾頁

相關(guān)文章:

• 瑞星手機安全軟件再升級 新增一鍵優(yōu)化、程序鎖功能
• 瑞星綜述：上周(05.28-06.03)病毒與安全趨勢回顧
• 瑞星安全周報（2012.06.04－2012.06.10）
• 計算機病毒嚴重影響你的上網(wǎng)速度
• 安全第一 第三層交換機預(yù)防病毒能力
• 瑞星首發(fā)“超級火焰”專殺工具 免費供用戶防御史上最強病毒
• 深度分析 注意智能手機電池六大事項
• 瑞星緊急發(fā)布紅色安全警報 “超級火焰”病毒已入侵我國
• 瑞星2012防火墻還孩子純凈網(wǎng)絡(luò)天空
• 中東上萬臺電腦發(fā)現(xiàn)Flame新型蠕蟲病毒