黑基Web安全攻防班
安基网 首页 资讯 安全报 查看内容

企业用户千万要小心 “超级火焰”病毒似间谍

2012-7-9 09:54| 投稿: blue


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要:  日前,瑞星公司对外公开了国内首份“超级火焰”病毒的详细技术分析报告,并公布了相应对策。   核心提示   日前,瑞星公司对外公开了国内首份“超级火焰”病毒的详细技术分析...
 日前,瑞星公司对外公开了国内首份“超级火焰”病毒的详细技术分析报告,并公布了相应对策。   核心提示   日前,瑞星公司对外公开了国内首份“超级火焰”病毒的详细技术分析报告,并公布了相应对策。   分析显示,“超级火焰”病毒结构复杂,破坏力强,比之前的“Stuxnet超级工厂”和“Duqu毒趣”病毒有过之而无不及。   病毒感染流程   A   “超级火焰”病毒入侵电脑后,会在感染的机器上安装后门,并接收来自黑客服务器的指令,记录用户密码和按键信息,在后台录音,并将黑客感兴趣的信息发送给远端控制服务器。   病毒分析报告显示,“超级火焰”病毒的主体为一个名为MSSECMGR.OCX的DLL动态库,通过命令行“rundll32.exe MSSECMGR.OCX, DDEnumCallback”来实现病毒的加载。病毒运行后会将自身复制到System32目录下,并向services.exe、winlogon.exe、explorer.exe和iexplore.exe等程序中注入自身并实现加载。   该病毒进入系统后,会主动创建C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr\的目录,在系统不同目录中生成多个文件,同时还会新创建HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages=“mssecmgr.ocx”注册表项,并访问多台位于美国和欧洲的服务器。   另外,该病毒在接收命令后会通过局域网共享、移动介质和MS10-061等系统漏洞进行传播,并对数十种流行的反病毒软件、防火墙和泛安全产品的进程进行检测,并尝试破坏。在盗取信息方面,该病毒会有选择地对键盘操作进行记录,有选择性地截取活动窗口图像,收集IE中的电子邮件地址,主动获取系统的服务状态,例如打印和打印机服务信息等,并通过查找用户文档目录的方式来获取所有用户信息,通过查找程序安装目录的方法来获取用户安装的程序信息,并将获取的信息加密后保存到系统临时目录中。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部