利用Flash漏洞病毒分析報(bào)告

利用Flash漏洞病毒分析報(bào)告當(dāng)“網(wǎng)購(gòu)”和“游戲”已經(jīng)是互聯(lián)網(wǎng)上不可或缺組成部分，國(guó)內(nèi)的病毒木馬作者由于利益驅(qū)使，也逐漸的將目標(biāo)鎖定在了網(wǎng)購(gòu)者與游戲玩家。更多的傳播方法則變成了：把病毒偽造成商品圖片、偽裝成網(wǎng)游裝備圖片通過(guò)聊天工具傳播。把帶有木馬的非官方游戲安裝包放在釣魚(yú)網(wǎng)站上誘騙下載。雖然此類傳播方式已經(jīng)成為主流，但不可否認(rèn)的是，以觸發(fā)高危漏洞執(zhí)行惡意代碼的傳播方式，也應(yīng)該受國(guó)內(nèi)到各大安全廠商的重視。2013年2月7日，Adobe公司發(fā)布了CVE-2013-0634漏洞補(bǔ)丁，而本篇分析文章則圍繞一個(gè)以觸發(fā)CVE-2013-0634漏洞執(zhí)行惡意代碼的樣本，來(lái)為大家闡述病毒作者為了隱蔽自己采用的方法與病毒的工作流程，以提高安全人員防范木馬傳播的一個(gè)引子。病毒以CVE-2013-0634漏洞觸發(fā)，利用AdobeFlashPlayerActionScript3.0處理正則表達(dá)式存在溢出執(zhí)行惡意代碼。本篇就不再詳細(xì)敘述漏洞詳情。病毒以判斷參數(shù)是否為update作為初次運(yùn)行的條件。如果參數(shù)不是update則創(chuàng)建注冊(cè)表項(xiàng)：SOFTWARE\\Microsoft\\NetworkSecurityCenter\\upsbin,并且在臨時(shí)目錄temp下以~uz加上系統(tǒng)啟動(dòng)到現(xiàn)在所經(jīng)過(guò)的時(shí)間為名字來(lái)復(fù)制自身文件，并且更改文件創(chuàng)建時(shí)間為2006年，以u(píng)pdate作為參數(shù)運(yùn)行這個(gè)文件。如圖：當(dāng)以u(píng)pdate作為參數(shù)的時(shí)候，病毒會(huì)判斷系統(tǒng)權(quán)限和系統(tǒng)版本，如果系統(tǒng)版本高于vista以上，并且非系統(tǒng)權(quán)限，病毒會(huì)在臨時(shí)目錄temp下創(chuàng)建update.cab更改文件創(chuàng)建時(shí)間為2006年，解壓update.cab里面的病毒作者的cryptbase.dll到system32下的migwiz文件夾里，用來(lái)突破vista以上版本的UAC限制，然后再以u(píng)pdate作為參數(shù)重新啟動(dòng)原病毒文件。如圖：當(dāng)獲得系統(tǒng)權(quán)限后，病毒會(huì)刪除原文件，刪除注冊(cè)表鍵SOFTWARE\\Microsoft\\NetworkSecurityCenter\\upsbin，刪除系統(tǒng)目錄migwiz文件夾里的cryptbase.dll，注冊(cè)SOFTWARE\\Microsoft\\NetworkSecurityCente\\feed0鍵值為：bcd4c8c8cc869393ded0d3db92cfd5d2dd92dfd3d192dfd293cecfcf938e8c898c85898c8a8d8e92c4d1d0=作為之后的密鑰來(lái)解密更新網(wǎng)址。注冊(cè)SOFTWARE\\Microsoft\\NetworkSecurityCente\\ownin鍵值為：lbgg刪除SOFTWARE\\Microsoft\\WindowsScriptHost\\Settings\\Enabled病毒經(jīng)過(guò)以上流程已經(jīng)初步完成了在一個(gè)機(jī)器上初始化自己的生存環(huán)境。接下來(lái)便開(kāi)始真正的做壞事了。病毒以亦或0×30來(lái)解密本身文件50E8處腳本文件，然后開(kāi)始執(zhí)行腳本。腳本判斷機(jī)器是否安裝360安全衛(wèi)士是否開(kāi)啟IE進(jìn)程，如果有，則全部關(guān)閉。更改注冊(cè)表項(xiàng)：HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\InternetSettings\\Zones\\3\\1201HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\InternetSettings\\Zones\\3\\1400HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\InternetSettings\\Zones\\3\\CurrentLevel以降低InternetExplorer安全設(shè)置創(chuàng)建Guid，添加注冊(cè)表HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\NetworkSecurityCenter\\macID鍵值為Guid刪除注冊(cè)表鍵值SOFTWARE\\Microsoft\\NetworkSecurityCenter\\upsbin獲取之前病毒添加的SOFTWARE\\Microsoft\\NetworkSecurityCente\\feed0鍵值作為密鑰經(jīng)解密后為這個(gè)網(wǎng)址并非是真正的病毒傳播網(wǎng)址，作者為了隱蔽自己，在這里很“精巧”的用了新浪博客作為新的木馬服務(wù)器地址發(fā)布站。UdateKEY解密后為真正的木馬服務(wù)器地址分析js腳本，使用抓包工具?？梢院芮逦陌l(fā)現(xiàn)病毒往服務(wù)器上傳了guid，版本，中毒的機(jī)器名稱，MAC地址，系統(tǒng)版本等相應(yīng)信息。獲取到病毒下載地址。為了能常駐系統(tǒng)，病毒注冊(cè)了名字為ptcq_consumer的活動(dòng)腳本事件，每隔60秒鐘，執(zhí)行一次腳本經(jīng)過(guò)如上分析。我們可以發(fā)現(xiàn)，作者首先通過(guò)新浪博客，發(fā)布加密后的服務(wù)器網(wǎng)址，再?gòu)姆?wù)器中獲取到加密后的病毒下載地址。這樣的做法，只需更改新浪博客的發(fā)布地址，便可隱蔽自己的行蹤?？梢?jiàn)病毒作者的“良苦用心”。回頭我們?cè)賮?lái)看下