瑞星:Stuxnet病毒技术分析报告

2010-09-27 16:01:34
摘要:这是一个可以通过微软MS10-046漏洞(lnk文件漏洞),MS10-061(打印服务漏洞),MS08-067等多种漏洞传播的恶性蠕虫病毒。另外该病毒还可以专门针对西门子的SCADA软件进行特定攻击,以获取其需要的信息。

Worm.Win32.Stuxnet病毒分析

病毒名称:

Worm.Win32.Stuxnet

病毒概述:

这是一个可以通过微软MS10-046漏洞(lnk文件漏洞),MS10-061(打印服务漏洞),MS08-067等多种漏洞传播的恶性蠕虫病毒。另外该病毒还可以专门针对西门子的SCADA软件进行特定攻击,以获取其需要的信息。

技术细节:

传播方式:

1. 通过MS10-046漏洞传播

病毒运行后会拷贝自身到移动存储上并命名为~WTR数字.Tmp(动态库)和一个注入下列文件名的lnk文件组成:

Copy of ShortCut to .lnk

Copy of Copy of ShortCut to .lnk

Copy of Copy of Copy of ShortCut to .lnk…

 在存在MS10-046漏洞的机器上,只需浏览这些lnk,Explorer.exe就会将~WTR数字.Tmp加载起来。

2. 通过MS10-061漏洞传播

该病毒还会利用打印机或打印机共享漏洞MS10-061漏洞传播。病毒会将自身拷贝到存在该漏洞的远程机器的%system%目录下,并利用WMI将其执行起来。

3. 通过共享文件夹传播

该病毒还会试图将自身拷贝到局域网共享文件夹下,并命名为类似DEFRAG(随机数字).tmp的名称。

4. 通过MS08-067漏洞传播

该病毒还会利用MS08-067漏洞传播。

病毒的主要功能以及大致流程:

当用户浏览可移动存储上的Copy of ShortCut to .lnk文件后,Explorer.exe会加载~WTR数字.Tmp,然后病毒会加载自身的另一个名为~WTR数字.Tmp的动态库。在加载该恶意dll时,病毒并没有通过普通的LoadLibrary函数加载,为了隐藏自身模块,同时为了达到不释放文件来加载病毒模块的目的,它采取了一个特殊方式。病毒会首先hook ntdll的一些导出函数,然后,它会构造一个特殊的并不存在的文件名如Kernel32.dll.aslr,然后以此为参数调用LoadLibrary,正常情况下,该调用会失败因为该文件并不存在,但是因为病毒已经提前Hook了Ntdll,hook函数会监控对此类特殊文件名的打开操作。如果发现是自身构造的虚假文件名,则会重定向到其他位置,比如另一个文件或者通常情况下是一块已经被病毒解密过的内存,这样,外界看到的是一个常见的模块名比如Kernel32,而实际上是病毒模块。这样病毒就达到了隐藏自身的目的。

 1/4    1 2 3 4 下一页 尾页

[责任编辑:秦溢博]

相关文章:

关于瑞星|联系方式|服务与支持