瑞星“超級火焰”病毒(Worm.Win32.Flame)技術(shù)分析報告
2012-06-05 13:28:332.Nteps32.dll模塊
Nteps32.dll被services.exe通過通用的注入手法注入到winlogon.exe和explorer.exe中,并常駐運(yùn)行。Nteps32.dll加載后會將自身與boot32drv.sys這兩個文件的時間(創(chuàng)建、訪問、寫入)同步成與kernel32.dll一樣。除此之外,nteps32.dll不主動執(zhí)行任何動作。Nteps32.dll包含以下行為:
1.?針對卡巴斯基軟件做了特別詳細(xì)的檢測
獨(dú)立檢測了avp.exe進(jìn)程,同時也檢測了相關(guān)的注冊表鍵:
HKLM\SOFTWARE\KasperskyLab
HKLM\SOFTWARE\KasperskyLab\AVP6
HKLM\SOFTWARE\KasperskyLab\protected\AVP7
2.?檢測大多數(shù)(超過50多個進(jìn)程)的反病毒、防火墻以及其他泛安全產(chǎn)品的進(jìn)程。以下列舉一部分,主要為國外流行的反病毒軟件
netmon.exe,mpsvc.exe,licwiz.exe,kavmm.exe,kav.exe,ike.exe,fprottray.exe,fpavserver.exe,emlproxy.exe,emlproui.exe,
elogsvc.exe,configmgr.exe,cclaw.exe,avpm.exe,avp.exe,avgupsvc.exe,avgrssvc.exe,avginet.exe,avgfwsrv.exe,avgemc.exe,
avgcc.exe,avgamsvr.exe
目前還無法確定是否會有主動結(jié)束這些安全軟件的行為。
3.?有選擇性地記錄鍵盤記錄
鍵盤記錄的相關(guān)輸出文件為:
%WINDIR%\temp\HLV473_tmp或%WINDIR%\temp\~HLV927.tmp。
鍵盤記錄功能的實(shí)現(xiàn)較為簡單,主要通過調(diào)用以下API實(shí)現(xiàn):
GetForegroundWindow
GetKeyState
GetKeyboardLayout
MapVirtualKeyExA
MapVirtualKeyA
ToUnicodeEx
4.?有選擇性地截取活動窗口圖像
配置數(shù)據(jù)存放于boot32drv.sys,該文件由services.exe創(chuàng)建。
輸出文件:%WINDIR%\temp\~HLV084.tmp或%WINDIR%\temp\~HLV294.tmp。
屏幕截取功能的實(shí)現(xiàn)較為簡單,主要通過調(diào)用以下API實(shí)現(xiàn):
GetForegroundWindow
GetWindowTextW
CreateCompatibleDC
CreateCompatibleBitmap
BitBlt
當(dāng)計算機(jī)進(jìn)入屏幕保護(hù)狀態(tài)時,截屏功能將停止。
5.?收集InternetExplorer中的電子郵件地址
通過創(chuàng)建CLSID_ShellWindows來枚舉InternetExplorer窗口,并搜索包含以下關(guān)鍵字的郵件地址:
ymail.com
rocketmail.com
yahoo.com
gawab.com
maktoob.com
gmail.com
live.com
hotmail.com
