▌作者:Catalin Cimpanu
▌翻译:360代码卫士团队
维基解密公布了由CIA开发且旨在感染Windows系统的恶意软件框架Angelfire项目。
从一份泄露的CIA手册中可知,Angelfire由5个组件组成,每个组件都拥有不同的目的,它们分别是:
Solartime:更改引导扇区加载Wofcreek的恶意软件。
Wolfcreek:一款自加载驱动,能加载其它驱动和用户模式应用程序。
Keystone:负责启动其它植入(即恶意软件)。
BadMFS:在活动分区创建的一个秘密文件系统。AngelFire使用BadMFS存储所有的其它组件。所有的文件都会被混淆且被加密。
Windows Transitory File System:替代BadMFS的一个新组建。它并未将文件存储在一个秘密的文件系统中,而是使用短暂的(临时的)文件存储系统。
从被泄文件来看,Anglefire适用于32位和64位版本的Windows XP和Windows 7、以及64位版本的Windows Server 2008 R2。
并非CIA的最佳作品
Angelfire框架只不过是CIA入侵Windows系统的另外一款工具,此类工具还包括Grasshopper、ELSA、AfterMidnight和Assassin。
跟其他工具相比,Angelfire并非那么强大,被泄文档中列出了一长串相关问题。例如,安全产品能够通过一个名为 “zf” 的文件检测到BadMFS文件系统的存在,而且当Angelfire组件崩溃时,用户能看到弹出警告。另外,Keystone组件一直会隐藏为"C:\Windows\system32\svchost.exe" 进程,如果Windows安装在另外一个分区(例如,D:\),那么它不会动态调整这个路径,而且也不会支持在XP系统上的DLL持续存在。总而言之,它并非CIA的最佳作品。
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
