利用Flash漏洞病毒分析報告

利用Flash漏洞病毒分析報告當“網(wǎng)購”和“游戲”已經(jīng)是互聯(lián)網(wǎng)上不可或缺組成部分，國內(nèi)的病毒木馬作者由于利益驅(qū)使，也逐漸的將目標鎖定在了網(wǎng)購者與游戲玩家。更多的傳播方法則變成了：把病毒偽造成商品圖片、偽裝成網(wǎng)游裝備圖片通過聊天工具傳播。把帶有木馬的非官方游戲安裝包放在釣魚網(wǎng)站上誘騙下載。雖然此類傳播方式已經(jīng)成為主流，但不可否認的是，以觸發(fā)高危漏洞執(zhí)行惡意代碼的傳播方式，也應(yīng)該受國內(nèi)到各大安全廠商的重視。2013年2月7日，Adobe公司發(fā)布了CVE-2013-0634漏洞補丁，而本篇分析文章則圍繞一個以觸發(fā)CVE-2013-0634漏洞執(zhí)行惡意代碼的樣本，來為大家闡述病毒作者為了隱蔽自己采用的方法與病毒的工作流程，以提高安全人員防范木馬傳播的一個引子。病毒以CVE-2013-0634漏洞觸發(fā)，利用AdobeFlashPlayerActionScript3.0處理正則表達式存在溢出執(zhí)行惡意代碼。本篇就不再詳細敘述漏洞詳情。病毒以判斷參數(shù)是否為update作為初次運行的條件。如果參數(shù)不是update則創(chuàng)建注冊表項：SOFTWARE\\Microsoft\\NetworkSecurityCenter\\upsbin,并且在臨時目錄temp下以~uz加上系統(tǒng)啟動到現(xiàn)在所經(jīng)過的時間為名字來復(fù)制自身文件，并且更改文件創(chuàng)建時間為2006年，以update作為參數(shù)運行這個文件。如圖：當以update作為參數(shù)的時候，病毒會判斷系統(tǒng)權(quán)限和系統(tǒng)版本，如果系統(tǒng)版本高于vista以上，并且非系統(tǒng)權(quán)限，病毒會在臨時目錄temp下創(chuàng)建update.cab更改文件創(chuàng)建時間為2006年，解壓update.cab里面的病毒作者的cryptbase.dll到system32下的migwiz文件夾里，用來突破vista以上版本的UAC限制，然后再以update作為參數(shù)重新啟動原病毒文件。如圖：當獲得系統(tǒng)權(quán)限后，病毒會刪除原文件，刪除注冊表鍵SOFTWARE\\Microsoft\\NetworkSecurityCenter\\upsbin，刪除系統(tǒng)目錄migwiz文件夾里的cryptbase.dll，注冊SOFTWARE\\Microsoft\\NetworkSecurityCente\\feed0鍵值為：bcd4c8c8cc869393ded0d3db92cfd5d2dd92dfd3d192dfd293cecfcf938e8c898c85898c8a8d8e92c4d1d0=作為之后的密鑰來解密更新網(wǎng)址。注冊SOFTWARE\\Microsoft\\NetworkSecurityCente\\ownin鍵值為：lbgg刪除SOFTWARE\\Microsoft\\WindowsScriptHost\\Settings\\Enabled病毒經(jīng)過以上流程已經(jīng)初步完成了在一個機器上初始化自己的生存環(huán)境。接下來便開始真正的做壞事了。病毒以亦或0×30來解密本身文件50E8處腳本文件，然后開始執(zhí)行腳本。腳本判斷機器是否安裝360安全衛(wèi)士是否開啟IE進程，如果有，則全部關(guān)閉。更改注冊表項：HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\InternetSettings\\Zones\\3\\1201HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\InternetSettings\\Zones\\3\\1400HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\InternetSettings\\Zones\\3\\CurrentLevel以降低InternetExplorer安全設(shè)置創(chuàng)建Guid，添加注冊表HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\NetworkSecurityCenter\\macID鍵值為Guid刪除注冊表鍵值SOFTWARE\\Microsoft\\NetworkSecurityCenter\\upsbin獲取之前病毒添加的SOFTWARE\\Microsoft\\NetworkSecurityCente\\feed0鍵值作為密鑰經(jīng)解密后為這個網(wǎng)址并非是真正的病毒傳播網(wǎng)址，作者為了隱蔽自己，在這里很“精巧”的用了新浪博客作為新的木馬服務(wù)器地址發(fā)布站。UdateKEY解密后為真正的木馬服務(wù)器地址分析js腳本，使用抓包工具?？梢院芮逦陌l(fā)現(xiàn)病毒往服務(wù)器上傳了guid，版本，中毒的機器名稱，MAC地址，系統(tǒng)版本等相應(yīng)信息。獲取到病毒下載地址。為了能常駐系統(tǒng)，病毒注冊了名字為ptcq_consumer的活動腳本事件，每隔60秒鐘，執(zhí)行一次腳本經(jīng)過如上分析。我們可以發(fā)現(xiàn)，作者首先通過新浪博客，發(fā)布加密后的服務(wù)器網(wǎng)址，再從服務(wù)器中獲取到加密后的病毒下載地址。這樣的做法，只需更改新浪博客的發(fā)布地址，便可隱蔽自己的行蹤?？梢姴《咀髡叩摹傲伎嘤眯摹?。回頭我們再來看下