关于超级火焰病毒
Skywiper恶意软件的复杂功能受到命令服务器的控制,命令服务器数量可能为数十台。恶意软件也可以经由USB驱动器缓慢传播。
该软件具有极端的复杂性,较之以前的Stuxnet(“震网”)和Duqu攻击程序,该软件的威胁要大出许多。略举一例,即使是最小的加密模块,就有70000余行反编译C代码,包含170多个加密“字符串”!
显然,该软件的开发经过了数年时间,可能是某个大型组织或专业团队所为。
Skywiper的传播远比Duqu广泛,而且同样具有很多变种。
Skywiper是一种模块化、可扩展和可更新的威胁。它具有以下一些核心间谍功能(不限于此):
1、 扫描网络资源。
ssh工具windows
2、 窃取指定信息。
3、 通过SSH和HTTPS协议与控制服务器通信。
4、 侦测100多种防病毒产品。
5、 可利用内核和用户模式传播。
6、 运用Windows APC调用可以实现复杂的内部功能,可以操纵线程启动,注入代码到关键进程中。
7、 以的一部分载入,然后将自身注入到IE等服务中。
8、 以临时文件命名隐藏自己。
9、 通过USB存储器和局域网(缓慢地)攻击新系统。
10、 屏幕捕捉。
11、 录制语音会话。
12、 可在Windows XP、Windows Vista和Windows 7系统上运行。
13、 包含已知漏洞攻击程序,如对打印机缓冲和Ink服务的攻击程序。
14、 使用SQLite数据库存储收集的信息。
15、 对于攻击模块,采用自定义的数据库(这是非常与众不同的一点,但体现出该恶意软件的模块化和可扩展性)。
16、 经常驻留在邻近系统里,可以同时发起控制和感染目标。
17、 使用PE加密的资源。
总而言之,该威胁在运行方式上与Stuxnet和Duqu非常相似,但它的代码库和编程实现迥然不同,其基础架构要复杂和健壮得多。
Skywiper的主要可执行文件:
Windows\ – 主模块
Windows\
Windows\
Windows\
Windows\
程序信息块的伪装性
该恶意软件的主模块伪装成微软发布的程序,它声称是Windows Version 5.1(2600 Build)的“Windows认证客户端”。其他一些模块也声称是Windows组件。不过,据目前分析,这些文件的数字签名都不是合法的。
该病毒可能包括的文件名有:
~p
target.lnk
zff042

ccalc32.sys
boot32drv.sys

~KWI
guninst32
~HLV
~p
~p
~p

~p
~p
~p
~p

~p
~p
~
p
~p
Ef_trace.log
contents.btr
wrm3f0


wlndh32
mprhlp
kbdinai
~
~
sstab
~rcf0
~rcj0
互斥标记
该威胁文件还采用TH_POOL_SHD_PQOISNG_#PID#SYNCMTX作为互斥标记来标识已感染系统。此处的#PID#是威胁所注入的进程ID。
根据特定控制服务器的请求,威胁文件可以变换文件名和扩展名。某些情况下,Skywiper可侦测特定的杀毒软件。恶意软件随后可能改变可执行文件(DLL文件)的扩展名,例如,从OCX改为TMP。不过,这种情况一般只在杀毒程序安装之前就感染病毒的时候出现。
Skywiper的主模块有6M多,而完整的程序集接近20M。虽然这对于恶意软件而言代码显得过多,但好处是可以携带复杂的代码库,如Zlib、LUA解释器、SQLite支持、定制数据库支持代码等。
Skywiper的主模块通过注册表启动:
HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\Authentication Packages
-
Mcafee的DAT版本6726以上可查杀该病毒。
本文编译自mcafee网站的相关文档。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。