病毒名称: Backdoor.Win32.FireFly.i
中文名称: 流萤
病毒类型: 后门
文件 MD5: 435C685127510D58D2E5F9DF27115FA4
公开范围: 完全公开
危害等级: 中
文件长度: 37,494 字节
感染系统: windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: UPX 0.89.6 - 1.02
命名对照: Symentec[无]
Mcafee[无]
病毒描述:
病毒运行后删除自身,释放病毒文件到新建文件夹%Program Files%firefly-remote 下,该病毒利用Rootkit隐藏技术,使文件夹firefly-remote和病毒进程FireFly.exe均不可见,关闭病毒进程FireFly.exe才能看到;病毒修改注册表,新建服务,以达到病毒随机启动的目的;注入到进程IExplore.exe中,使用动态域名。该病毒是远程控制软件流萤的受控端程序,可远程控制中毒用户的计算机,盗取用户敏感信息,下载、删除用户文件,抓取用户屏幕等功能。
行为分析:
1、病毒运行后删除自身,释放病毒文件到新建文件夹%Program Files%firefly-remote :
%Program Files%firefly-remoteFireFly.dat
%Program Files%firefly-remoteFireFly.exe
%Program Files%firefly-remoteFireFly.ini
%Program Files%firefly-remoteInstall.DLL
2、病毒利用Rootkit隐藏技术,使文件夹firefly-remote和病毒进程FireFly.exe均不可见,关闭病毒进程FireFly.exe才能看到。
3、修改注册表:
修改的注册表键值
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionInternet SettingsCachePathsDirectory
新建键值: 字串: "C:Documents and SettingsLocalService
Local SettingsTemporary Internet FilesContent.IE5"
原键值: 字串: "C:Documents and Settingscommander
Local SettingsTemporary Internet FilesContent.IE5"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionInternet SettingsCachePathspath1CachePath
新建键值: 字串: "C:Documents and SettingsLocalService
Local SettingsTemporary Internet FilesContent.IE5Cache1"
原键值: 字串: "C:Documents and Settingscommander
Local SettingsTemporary Internet FilesContent.IE5Cache1"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionInternet SettingsCachePathspath2CachePath
新建键值: 字串: "C:Documents and SettingsLocalService
Local SettingsTemporary Internet FilesContent.IE5Cache2"
原键值: 字串: "C:Documents and SettingscommanderLocal Settings
Temporary Internet FilesContent.IE5Cache2"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsCachePathspath3CachePath
新建键值: 字串: "C:Documents and SettingsLocalService
Local SettingsTemporary Internet FilesContent.IE5Cache3"
原键值: 字串: "C:Documents and Settingscommander
Local SettingsTemporary Internet FilesContent.IE5Cache3"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Internet SettingsCachePathspath4CachePath
新建键值: 字串: "C:Documents and SettingsLocalService
Local SettingsTemporary Internet FilesContent.IE5Cache4"
原键值: 字串: "C:Documents and SettingscommanderLocal Settings
Temporary Internet FilesContent.IE5Cache4"
新建键值:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICache
C:Program FilesFirefly-RemoteFireFly.exe
键值: 字串: "RemoteControl Software"
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_REMOTE
_CONTROL�000Class
键值: 字串: "LegacyDriver"
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_REMOTE
_CONTROL�000ControlActiveService
键值: 字串: "Remote Control"
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_REMOTE
_CONTROL�000DeviceDesc
键值: 字串: "Remote Control"
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_REMOT
E_CONTROL�000Service
键值: 字串: "Remote Control"
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesRemote Contro
lEnum�
键值: 字串: "RootLEGACY_REMOTE_CONTROL�000"
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesRemote Control
ImagePath
键值: 字串: C:Program FilesFirefly-RemoteFireFly.exe.
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesRemote Control
ObjectName
键值: 字串: "LocalSystem"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_REMOTE
_CONTROL�000Class
键值: 字串: "LegacyDriver"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_REMOTE
_CONTROL�000ControlActiveService
键值: 字串: "Remote Control"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_REMOTE
_CONTROL�000DeviceDesc
键值: 字串: "Remote Control"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_REMOTE
_CONTROL�000Service
键值: 字串: "Remote Control"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRemote Control
ImagePath
键值: 字串: C:Program FilesFirefly-RemoteFireFly.exe.
4、新建服务,以达到病毒随机启动的目的:
新建服务Remote Control,以达到随机启动病毒C:Program FilesFirefly-Remote FireFly.exe的目的。
5、注入到进程IExplore.exe中:
AutoInject IExplore.exe
6、使用动态域名:
wsdgs.3322.org
7、病毒是远程控制软件流萤的受控端程序,可远程控制中毒用户的计算机,盗取用户敏感信息,下载、删除用户文件,抓取用户屏幕等功能。
8、控制者信息:
IP地址:60.216.121.170(山东省济南市网通)
端口:10288
连接密码:3316547
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32,windows95/98/me中默认的安装路径是C:WindowsSystem,windowsXP中默认的安装路径是C:WindowsSystem32。