瑞星“超級火焰”病毒(Worm.Win32.Flame)技術(shù)分析報告
2012-06-05 13:28:333.rpcns4.ocx模塊
主要負責(zé)搜集系統(tǒng)信息,收集的信息可以用來識別用戶計算機可被用來進行網(wǎng)絡(luò)攻擊的切入點。具體的信息如下:
1.?獲取系統(tǒng)進程信息
3.?枚舉系統(tǒng)服務(wù)狀態(tài)、打印機和打印服務(wù)信息
枚舉系統(tǒng)打印機,打印服務(wù)相關(guān)信息
4.?通過遍歷用戶文檔目錄來獲取所有用戶信息,通過遍歷程序安裝目錄獲取用戶安裝的程序信息
用戶目錄信息如:
Administrator/All Users/Default User/LocalService/NetworkService
5.?通過注冊表獲取系統(tǒng)自帶軟件相關(guān)信息,獲取的注冊表位置如下(部分)
SOFTWARE\Microsoft\Internet Explorer\Version
SOFTWARE\Microsoft\Outlook Express\Version Info\CurrentOutlook.Application\CurVer
SYSTEM\CurrentControlSet\Control\Nls\CodePage\MACCP? OEMCP
6.?獲取用戶系統(tǒng)服務(wù)配置信息
SYSTEM\CurrentControlSet\Control\Terminal Server\fDenyTSConnections
SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List Software\Microsoft\Terminal Server Client\Default
7.?獲取網(wǎng)卡信息、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)配置信息、網(wǎng)絡(luò)共享信息等
8.?獲取IE相關(guān)配置信息和host文件信息
Software\Microsoft\Windows\CurrentVersion\Internet Settings?GlobalUserOffline?Software\Microsoft\Internet Connection Wizard?Completed?
http\shell\open\command?C:\Program Files\Internet Explorer\iexplore.exe" -nohome"
9.?獲取系統(tǒng)已安裝的防御軟件信息
SOFTWARE\Tiny Software\Tiny Firewall"
SOFTWARE\Kerio?
SOFTWARE\FarStone\FireWall
SOFTWARE\KasperskyLab\avp6\settings
SOFTWARE\KasperskyLab\avp6\settings
SOFTWARE\Symantec\SymSetup\Internet security
SOFTWARE\Symantec\InstalledApps
10.?獲取的信息加密后保存到系統(tǒng)臨時目錄中
~mso2a0.tmp?? ~mso2a2.tmp
4. advnetcfg.ocx模塊
經(jīng)分析判斷,advnetcfg.ocx模塊中包含如下功能:
1.?獲取磁盤上黑客感興趣的文件信息
2.?窗口屏幕的截取
3.?DLL注入功能模塊
