- 論壇徽章:
- 0
|
本帖最后由 siyuzhang 于 2012-07-07 09:17 編輯
未命名.jpg (13.01 KB, 下載次數(shù): 14)
下載附件
2012-07-07 09:17 上傳
核心提示
日前�����,瑞星公司對外公開了國內(nèi)首份“超級火焰”病毒的詳細技術(shù)分析報告����,并公布了相應(yīng)對策���。
分析顯示��,“超級火焰”病毒結(jié)構(gòu)復(fù)雜��,破壞力強���,比之前的“Stuxnet超級工廠”和“Duqu毒趣”病毒有過之而無不及。
病毒感染流程
A
“超級火焰”病毒入侵電腦后�,會在感染的機器上安裝后門�����,并接收來自黑客服務(wù)器的指令���,記錄用戶密碼和按鍵信息,在后臺錄音����,并將黑客感興趣的信息發(fā)送給遠端控制服務(wù)器。
病毒分析報告顯示���,“超級火焰”病毒的主體為一個名為MSSECMGR.OCX的DLL動態(tài)庫���,通過命令行“rundll32.exe MSSECMGR.OCX, DDEnumCallback”來實現(xiàn)病毒的加載。病毒運行后會將自身復(fù)制到System32目錄下�,并向services.exe、winlogon.exe��、explorer.exe和iexplore.exe等程序中注入自身并實現(xiàn)加載�����。
該病毒進入系統(tǒng)后,會主動創(chuàng)建C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\的目錄���,在系統(tǒng)不同目錄中生成多個文件��,同時還會新創(chuàng)建HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages=“mssecmgr.ocx”注冊表項���,并訪問多臺位于美國和歐洲的服務(wù)器。
另外�����,該病毒在接收命令后會通過局域網(wǎng)共享�、移動介質(zhì)和MS10-061等系統(tǒng)漏洞進行傳播,并對數(shù)十種流行的反病毒軟件�、防火墻和泛安全產(chǎn)品的進程進行檢測��,并嘗試破壞�。在盜取信息方面,該病毒會有選擇地對鍵盤操作進行記錄��,有選擇性地截取活動窗口圖像�����,收集IE中的電子郵件地址,主動獲取系統(tǒng)的服務(wù)狀態(tài)��,例如打印和打印機服務(wù)信息等�����,并通過查找用戶文檔目錄的方式來獲取所有用戶信息����,通過查找程序安裝目錄的方法來獲取用戶安裝的程序信息,并將獲取的信息加密后保存到系統(tǒng)臨時目錄中����。
做好防范措施
B
報告指出,“超級火焰”病毒主要通過移動存儲設(shè)備����、網(wǎng)絡(luò)共享和大量系統(tǒng)漏洞和不安全機制實現(xiàn)入侵。廣大用戶���,尤其是政府和企業(yè)用戶�,應(yīng)及時做好以下防范措施�,避免遭受病毒攻擊:
目前,瑞星公司已經(jīng)獲取“超級火焰”病毒的完整病毒包并進行了緊急升級�����,用戶可使用其殺毒軟件(個人級和企業(yè)級)防范查殺“超級火焰”病毒�,同時還可下載最新版專殺工具進行專項查殺(下載地址http://www.rising.com.cn/2012/skywlper)。
另外���,企業(yè)用戶要制定并嚴格執(zhí)行企業(yè)網(wǎng)絡(luò)移動存儲設(shè)備��、外來電腦和BYOD接入方式和權(quán)限的管理章程��,可通過殺毒軟件及上網(wǎng)行為管理系統(tǒng)自動進行策略定制和分發(fā)執(zhí)行���,避免病毒入侵。
在沒有必要的情況下����,不要隨意開放網(wǎng)絡(luò)共享;需要使用共享時����,要配置訪問權(quán)限和復(fù)雜的訪問密碼��。同時�,最好關(guān)閉Windows系統(tǒng)的默認共享�。普通用戶可使用網(wǎng)絡(luò)防火墻進行這項操作(下載地址http://www.rising.com.cn/2012/beta/index.html)�。
據(jù)了解����,“超級火焰”病毒利用大量系統(tǒng)漏洞入侵系統(tǒng)�,從目前分析的結(jié)果看���,該病毒主要利用了MS10-061���、MS10-046�����、MS10-051等系統(tǒng)漏洞����,并且還利用了一個微軟早期的加密算法漏洞KB2718704���,用戶需盡快將這些補丁進行更新(自動修補程序下載地址http://tool.ikaka.com/)�����。
電話采訪時��,安全專家強調(diào)�,Worm.Win32.Flame“超級火焰”甚至可以稱為間諜病毒����,其盜取的信息包羅萬象,包括各種文檔��、截屏���、錄音��、按鍵信息�、藍牙信息等����,復(fù)雜程度大大超過目前已知的所有病毒,對政府�、企業(yè)和普通用戶的危害極大�����。建議廣大企事業(yè)單位、政府部門高度重視此病毒����,積極做好相對應(yīng)的安全防范工作。
|
|
免費注冊
發(fā)表于 2012-07-07 09:16
