收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国内杀毒软件 瑞星“超级火焰”病毒(Worm.Win32.Flame)技术分析报告
12下一页
返回列表 发新帖
查看: 2838|回复: 11
收起左侧

[瑞星] 瑞星“超级火焰”病毒(Worm.Win32.Flame)技术分析报告

[复制链接]
jinglu
发表于 2012-6-5 16:46:27 | 显示全部楼层 |阅读模式
本帖最后由 jinglu 于 2012-6-6 00:04 编辑

摘要:Worm.Win32.Flame又称“超级火焰”病毒,是瑞星最新捕获到的一种新型电脑蠕虫病毒。该病毒结构复杂,破坏力强,比以前发现的Worm.Win32.Stuxnet(超级工厂)和Trojan.Win32.Duqu(毒趣)有过之而无不及。
一、概述
Worm.Win32.Flame又称“超级火焰”病毒,是瑞星最新捕获到的一种新型电脑蠕虫病毒。该病毒结构复杂,破坏力强,比以前发现的Worm.Win32.Stuxnet(超级工厂)和Trojan.Win32.Duqu(毒趣)有过之而无不及。
该蠕虫病毒运行后在感染的机器上安装后门,可以接收来自网络上的多个服务器的指令。病毒运行后会记录用户密码和按键信息,后台录音,并将病毒作者感兴趣的文件等信息发送给远端控制服务器。
病毒主体为一个DLL动态库,文件名为MSSECMGR.OCX。通过命令行rundll32.exe MSSECMGR.OCX, DDEnumCallback 加载病毒。病毒运行后会将自身复制到System32目录下。病毒运行后会向services.exe、winlogon.exe、explorer.exe和iexplore.exe中注入自身并加载。
二、详细分析
2.1感染现象
1. 病毒创建的目录:C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\
2. 病毒生成的文件:
C:\WINDOWS\Ef_trace.log
C:\WINDOWS\system32\mssecmgr.ocx
C:\WINDOWS\system32\nteps32.ocx
C:\WINDOWS\system32\boot32drv.sys
C:\WINDOWS\system32\advnetcfg.ocx
C:\WINDOWS\system32\ccalc32.sys
C:\WINDOWS\system32\msglu32.ocx
C:\WINDOWS\system32\soapr32.ocx
C:\WINDOWS\temp\~HLV473.tmp
C:\WINDOWS\temp\~HLV927.tmp
C:\WINDOWS\temp\~HLV084.tmp
C:\WINDOWS\Temp\~mso2a0.tmp
C:\WINDOWS\TEMP\~dra53.tmp
C:\WINDOWS\TEMP\~rf288h.tmp
C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\mscrypt.dat
C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\ssitable
C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\rccache.dat
C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\lmcache.dat
C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\ntcache.dat
C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\dstrlogh.dat
3. 病毒新增的注册表项:HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages = " mssecmgr.ocx"
4. 病毒访问的网络地址:
65.55.57.*:443
91.135.66.*:80
2.2模块列表
mssecmgr.ocx为病毒主模块,资源中存放着所有的功能模块。蠕虫运行后释放出的功能模块如下:

2.3运行流程


注入流程
模块释放加载
1 / 5 1 2 3 4 5 下一页 尾页  原文较长,请参阅官网:http://www.rising.com.cn/about/news/rising/2012-06-05/11652.html
回复

举报

jinglu
 楼主| 发表于 2012-6-5 17:12:31 | 显示全部楼层
本帖最后由 jinglu 于 2012-6-6 00:00 编辑

图已补上。
回复

举报

早已冻僵
发表于 2012-6-5 17:50:42 | 显示全部楼层
看来这病毒还挺厉害,貌似瑞星有专杀了吧
回复

举报

jinglu
 楼主| 发表于 2012-6-5 18:44:48 | 显示全部楼层

RE: 瑞星“超级火焰”病毒(Worm.Win32.Flame)技术分析报告

早已冻僵 发表于 2012-6-5 17:50
看来这病毒还挺厉害,貌似瑞星有专杀了吧

是的。
回复

举报

织画意
发表于 2012-6-5 18:57:29 | 显示全部楼层
这种病毒的确厉害,不过瑞星出专杀了,应该就不害怕了。
回复

举报

坐怀不乱
发表于 2012-6-5 22:28:48 | 显示全部楼层
感谢分享,瑞星的反应速度还是挺快的
回复

举报

jinglu
 楼主| 发表于 2012-6-5 22:45:27 | 显示全部楼层
坐怀不乱 发表于 2012-6-5 22:28
感谢分享,瑞星的反应速度还是挺快的

客气了!不过瑞星反应还是挺快的。
回复

举报

飞轮海
发表于 2012-6-6 11:45:30 | 显示全部楼层
瑞星好像是最早发布的相关专杀工具吧,很效率啊!
回复

举报

星星的故乡
发表于 2012-6-6 13:52:34 | 显示全部楼层
可以下载一个备用要是出现了就查杀,瑞星还是很给力。
回复

举报

你去远方
发表于 2012-6-6 18:24:27 | 显示全部楼层
瑞星的速度够快的,以后再接再厉
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-19 14:19 , Processed in 0.126180 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表