日期:2010-09-29 00:45:00 来源:本站整理
"超级工厂"病毒(Worm/Stuxnet)技术解析报告[网络技术]
本文“"超级工厂"病毒(Worm/Stuxnet)技术解析报告[网络技术]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
.Worm/Stuxnet操纵多种Windows系统漏洞举行传达,试图攻击西门子SIMATIC WinCC监控与数据采集(SCADA)系统.西门子SIMATIC WinCC SCADA系统用于产业掌握范畴,一旦运行该系统的服务器传染了Worm/Stuxnet,产业掌握指令和数据等信息大概被病毒拦阻、盗取或改正.此外,该蠕虫还会从互联网举行更新和接纳黑客号令,使传染主机被黑客远程完好掌握,成为"僵尸计算机".
下面是具体技术解析报告.
1、传达途径
1,操纵Windows Shell快速方法漏洞(MS10-046)和U盘传达
U盘传达是Worm/Stuxnet主要传达途径之一.病毒会在移动存储设备的根目录下成立以下病毒文件:
~WTR4132.tmp
~WTR4141.tmp
同时,还会成立下列快速方法文件,指向~WTR4141.tmp文件:
Copy of Shortcut to.lnk
Copy of Copy of Shortcut to.lnk
Copy of Copy of Copy of Shortcut to.lnk
Copy of Copy of Copy of Copy of Shortcut to.lnk
在没有安装MS10-046补钉的Windows系统中上利用被传染的U盘时,只需在资源管理器中拜候U盘根目录,即会自动加载病毒模块~WTR4141.tmp,~WTR4141.tmp进而加载~WTR4132.tmp,造成系统传染.
2,操纵MS10-061漏洞和WBEM传达
病毒会操纵Windows Spooler漏洞(MS10-061),攻击局域网上开启了"文件和打印机同享"的机械.被成功攻陷的计算机上会生成2个病毒文件:
%SystemDir%\winsta.exe
%SystemDir%\wbem\mof\sysnullevnt.mof
%SystemDir%\wbem\mof\sysnullevnt.mof将会在某时刻自动履行%SystemDir%\winsta.exe(即病毒文件),造成传染.
3,操纵同享文件夹传达
病毒扫描局域网机械的默许同享C,并尝试在远程计算机上成立病毒文件:
DEFRAG<随机数字>.TMP
文件成立成功后,病毒会再远程成立一个筹划任务,来按时启动病毒体.
4,操纵MS08-067漏洞传达
病毒向存在MS08-067漏洞的远程计算机发送恶意RPC恳求,一旦攻击成功,便可完好掌握被攻击计算机,举行传染.
2、躲藏自身
1,用户层躲藏
病毒文件~WTR4141.tmp从U盘被加载后,对下列系统API举行Hook:
FindFirstFileW
FindNextFileW
FindFirstFileExW
NtQueryDirectoryFile
ZwQueryDirectoryFile
计划躲藏病毒在U盘上的病毒文件.用户利用Windows资源管理器或其他利用用户层API查看文件目录的工具,都无法看到病毒文件的存在.
2,驱动层躲藏
病毒释放出文件系统过滤驱动mrxnet.sys,从内核层面对病毒文件举行躲藏.驱动层躲藏在功效目的上,与上述用户层躲藏是一致的.
Worm/Stuxnet会为mrxnet.sys成立一个系统服务,服务名为MRXNET,每次系统启动时自动加载.
3、攻击西门子SIMATIC WinCC SCADA系统
Mrxcls.sys是病毒释放出来的另一个驱动程序,病毒也为它成立了一个名为MRXCLS的服务,负责在Windows启动时自动加载该驱动.
Mrxcls.sys将会向名称为services.exe,S7tgtopx.exe,CCProjectMgr.exe的进程中注入并履行病毒代码.S7tgtopx.exe和CCProjectMgr.exe都是与西门子系统相关的进程.被注入的代码探求名为"s7otbxsx.dll"的模块,并尝试hook该模块中的下列API函数:
s7_event
s7ag_bub_cycl_read_create
s7ag_bub_read_var
s7ag_bub_write_var
s7ag_link_in
s7ag_read_szl
s7ag_test
s7blk_delete
s7blk_findfirst
s7blk_findnext
s7blk_read
s7blk_write
s7db_close
s7db_open
s7ag_bub_read_var_seg
s7ag_bub_write_var_seg
4、从互联网更新和接纳黑客号令
病毒尝试拜候下面域名,举行自身更新和接纳黑客号令,
www.mypremierfutbol.com
www.todaysfutbol.com
5、防备办法
1,安装Windows安全更新
分外是MS08-067,MS10-046,MS10-061这三个补钉一定要安装.
2,关闭默许同享C
可用下面号令行实现:
net share admin$ /del
net share c$ /del
3,屏蔽病毒域名
可手工改正%SystemDir%\drivers\etc\hosts文件,加入下列两行:
127.0.0.1 www.mypremierfutbol.com
127.0.0.1 www.todaysfutbol.com
以上是“"超级工厂"病毒(Worm/Stuxnet)技术解析报告[网络技术]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
本文地址: | 与您的QQ/BBS好友分享! |
评论内容只代表网友观点,与本站立场无关!
评论摘要(共 0 条,得分 0 分,平均 0 分)
查看完整评论