当前位置:七道奇文章资讯安全技术网络技术
日期:2010-09-29 00:45:00  来源:本站整理

"超级工厂"病毒(Worm/Stuxnet)技术解析报告[网络技术]

赞助商链接



  本文“"超级工厂"病毒(Worm/Stuxnet)技术解析报告[网络技术]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
.Worm/Stuxnet操纵多种Windows系统漏洞举行传达,试图攻击西门子SIMATIC WinCC监控与数据采集(SCADA)系统.西门子SIMATIC WinCC SCADA系统用于产业掌握范畴,一旦运行该系统的服务器传染了Worm/Stuxnet,产业掌握指令和数据等信息大概被病毒拦阻、盗取或改正.此外,该蠕虫还会从互联网举行更新和接纳黑客号令,使传染主机被黑客远程完好掌握,成为"僵尸计算机".
下面是具体技术解析报告.

1、传达途径

1,操纵Windows Shell快速方法漏洞(MS10-046)和U盘传达
U盘传达是Worm/Stuxnet主要传达途径之一.病毒会在移动存储设备的根目录下成立以下病毒文件:
~WTR4132.tmp
~WTR4141.tmp
同时,还会成立下列快速方法文件,指向~WTR4141.tmp文件:
Copy of Shortcut to.lnk
Copy of Copy of Shortcut to.lnk
Copy of Copy of Copy of Shortcut to.lnk
Copy of Copy of Copy of Copy of Shortcut to.lnk
在没有安装MS10-046补钉的Windows系统中上利用被传染的U盘时,只需在资源管理器中拜候U盘根目录,即会自动加载病毒模块~WTR4141.tmp,~WTR4141.tmp进而加载~WTR4132.tmp,造成系统传染.

2,操纵MS10-061漏洞和WBEM传达
病毒会操纵Windows Spooler漏洞(MS10-061),攻击局域网上开启了"文件和打印机同享"的机械.被成功攻陷的计算机上会生成2个病毒文件:
%SystemDir%\winsta.exe
%SystemDir%\wbem\mof\sysnullevnt.mof
%SystemDir%\wbem\mof\sysnullevnt.mof将会在某时刻自动履行%SystemDir%\winsta.exe(即病毒文件),造成传染.

3,操纵同享文件夹传达
病毒扫描局域网机械的默许同享C,并尝试在远程计算机上成立病毒文件:
DEFRAG<随机数字>.TMP
文件成立成功后,病毒会再远程成立一个筹划任务,来按时启动病毒体.

4,操纵MS08-067漏洞传达
病毒向存在MS08-067漏洞的远程计算机发送恶意RPC恳求,一旦攻击成功,便可完好掌握被攻击计算机,举行传染.

2、躲藏自身

1,用户层躲藏
病毒文件~WTR4141.tmp从U盘被加载后,对下列系统API举行Hook:
FindFirstFileW
FindNextFileW
FindFirstFileExW
NtQueryDirectoryFile
ZwQueryDirectoryFile
计划躲藏病毒在U盘上的病毒文件.用户利用Windows资源管理器或其他利用用户层API查看文件目录的工具,都无法看到病毒文件的存在.

2,驱动层躲藏
病毒释放出文件系统过滤驱动mrxnet.sys,从内核层面对病毒文件举行躲藏.驱动层躲藏在功效目的上,与上述用户层躲藏是一致的.
Worm/Stuxnet会为mrxnet.sys成立一个系统服务,服务名为MRXNET,每次系统启动时自动加载.

3、攻击西门子SIMATIC WinCC SCADA系统
Mrxcls.sys是病毒释放出来的另一个驱动程序,病毒也为它成立了一个名为MRXCLS的服务,负责在Windows启动时自动加载该驱动.
Mrxcls.sys将会向名称为services.exe,S7tgtopx.exe,CCProjectMgr.exe的进程中注入并履行病毒代码.S7tgtopx.exe和CCProjectMgr.exe都是与西门子系统相关的进程.被注入的代码探求名为"s7otbxsx.dll"的模块,并尝试hook该模块中的下列API函数:
s7_event
s7ag_bub_cycl_read_create
s7ag_bub_read_var
s7ag_bub_write_var
s7ag_link_in
s7ag_read_szl
s7ag_test
s7blk_delete
s7blk_findfirst
s7blk_findnext
s7blk_read
s7blk_write
s7db_close
s7db_open
s7ag_bub_read_var_seg
s7ag_bub_write_var_seg

4、从互联网更新和接纳黑客号令
病毒尝试拜候下面域名,举行自身更新和接纳黑客号令,
www.mypremierfutbol.com
www.todaysfutbol.com

5、防备办法
1,安装Windows安全更新
分外是MS08-067,MS10-046,MS10-061这三个补钉一定要安装.

2,关闭默许同享C
可用下面号令行实现:
net share admin$ /del
net share c$ /del

3,屏蔽病毒域名
可手工改正%SystemDir%\drivers\etc\hosts文件,加入下列两行:
127.0.0.1       www.mypremierfutbol.com
127.0.0.1       www.todaysfutbol.com

  以上是“"超级工厂"病毒(Worm/Stuxnet)技术解析报告[网络技术]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
  • XP系统拜候局域网计算机时提醒"回绝拜候"的办理办法
  • Windows 8 系统提醒"已禁用 IME"会对系统利用有什么影响
  • Windows 8 中找回"便笺"小工具和程序的办法(图)
  • Windows 8 中"便笺"小工具和程序不见了若何处理
  • IE浏览器弹出对话框"您计算机某程序已破坏"怎么办理?
  • 办理内存不能为"read"指令00000000*0的问题
  • Windows7的优化本领之启动"高性能"设置(图文教程)
  • Win7安装VirtualBox提醒"Installation failed!Error:系统找不到指定的途径"的缘由及
  • 巧用Win7的"属性"功效 办理常用小问题的办法
  • 关闭迅雷"XLServicePlatform"服务 避免招致Win8假死的办法
  • Win7中无法成立文件‘新建 库.library-ms’文件系统错误(16389)"若何办理
  • SQL Server 2008 Express 安装或卸载时提醒"重启计算机失利"的办理办法
  • 本文地址: 与您的QQ/BBS好友分享!
    • 好的评价 如果您觉得此文章好,就请您
        0%(0)
    • 差的评价 如果您觉得此文章差,就请您
        0%(0)

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    Copyright © 2020-2022 www.xiamiku.com. All Rights Reserved .