瑞星发布国内首份“超级火焰”技术报告及抵御对策

  • 时间:
  • 浏览:0
  • 来源:极速快3_快3神彩争8_极速快3神彩争8

  6月5日,瑞星公司对外公开了国内首份“超级火焰”病毒的完正技术分析报告,并回应了相应的抵御对策。分析显示,“超级火焰”病毒內部僵化 ,破坏力强,比后后的“Stuxnet超级工厂”和“Duqu毒趣”病毒有过之而无不及。“超级火焰”病毒入侵电脑后,会在感染的机器上安装后门,并接收来自黑客服务器的指令,记录用户密码和按键信息,在后台录音,并将黑客感兴趣的信息发送给远端控制服务器。

  此次瑞星公司回应的病毒分析报告显示,“超级火焰”病毒的主体为另有一三个 名为MSSECMGR.OCX的DLL动态库,通过命令行“rundll32.exe MSSECMGR.OCX, DDEnumCallback”来实现病毒的加载。病毒运行都会将自身克隆qq好友好友到System32目录下,并向services.exe、winlogon.exe、explorer.exe和iexplore.exe等应用进程中注入自身并实现加载。该病毒的注入流程如下图所示。

  图:“超级火焰”Worm.Win32.Flame病毒注入流程

  该病毒进入系统后,会主动创建C:Program FilesCommon FilesMicrosoft SharedMSSecurityMgr的目录,在系统不同目录中生成多个文件,并肩都会新创建HKLMSYSTEMCurrentControlSetControlLsaAuthentication Packages = "mssecmgr.ocx"注册表项,并访问多台指在美国和欧洲的服务器。

  另外,该病毒在接收命令都会通过局域网共享、移动介质和MS10-061等系统漏洞进行传播,并对数十种流行的反病毒软件、防火墙和泛安全产品的应用应用进程进行检测,并尝试破坏。在盗取信息方面,该病毒会有选泽地对键盘操作进行记录,有选泽性地截取活动窗口图像,分发IE中的电子邮件地址,主动获取系统的服务情形,相似打印和打印机服务信息等,并通过查找用户文档目录的土妙招来获取所有用户信息,通过查找应用进程安装目录的土妙招来获取用户安装的应用进程信息,并将获取到的信息加密后保存到系统临时目录中。

  报告指出,“超级火焰”病毒主要通过移动存储设备、网络共享和小量系统漏洞和不安全机制实现入侵。广大用户,尤其是政府和企业用户,应及时做好以下防范土妙招,正确处理遭受病毒攻击:

  · 目前,瑞星公司后后获取“超级火焰”病毒的完正病毒包并进行了紧急升级,广大用户可使用瑞星杀毒软件(另一方级和企业级)防范查杀“超级火焰”病毒,并肩还可下载最新版专杀工具进行专项查杀(下载地址http://www.rising.com.cn/2012/skywlper)

  · 制定并严格执行企业网络移动存储设备、外来电脑和BYOD接入土妙招和权限的管理章程,可通过瑞星杀毒软件网络版、瑞星上网行为管理系统自动进行策略定制和分发执行,正确处理病毒入侵(瑞星企业安全产品地址http://ep.rising.com.cn/)

  · 在那末必要的情形下,不须随意开放网络共享;必须使用共享时,要配置访问权限和僵化 的访问密码。并肩,最好关闭Windows系统的默认共享。普通用户可使用瑞星防火墙进行这项操作(瑞星防火墙下载地址http://www.rising.com.cn/2012/beta/index.html)

  · “超级火焰”病毒利用小量系统漏洞入侵系统,从瑞星目前分析的结果看,该病毒主要利用了MS10-061、MS10-046、MS10-051等系统漏洞,倘若还利用了另有一三个 微软早期的加密算法漏洞KB2718704,用户需尽快将哪些地方地方补丁进行更新。企业用户还都还里能 直接通过瑞星网络版杀毒软件实现系统漏洞的自动更新,另一方用户则可使用瑞星安全助手自动修补(瑞星安全助手下载地址http://tool.ikaka.com/)

  · 后后用户遇到疑难情形,可拨打瑞星公司客户服务热线30-630-8866咨询工程师,以获取专业的帮助和服务

  瑞星安全专家表示,Worm.Win32.Flame“超级火焰”是一款从事间谍活动的病毒,其盗取的信息包罗万象,包括各种文档、截屏、录音、按键信息、蓝牙信息等,僵化 程度大大超过目前已知的所有病毒,对政府、企业和普通用户的危害极大,建议广大企事业单位、政府部门宽度重视此病毒,积极做好相对应的安全防范工作。