瑞星:Stuxnet病毒技术分析报告
2010-09-27 16:01:34摘要:这是一个可以通过微软MS10-046漏洞(lnk文件漏洞),MS10-061(打印服务漏洞),MS08-067等多种漏洞传播的恶性蠕虫病毒。另外该病毒还可以专门针对西门子的SCADA软件进行特定攻击,以获取其需要的信息。
之后病毒会运行lsass.exe并修改程序的内存,然后释放如下文件:
%System%\drivers\mrxcls.sys
%System%\drivers\mrxnet.sys
%Windir%\inf\oem6C.PNF
%Windir%\inf\oem7A.PNF
%Windir%\inf\mdmcpq3.PNF
%Windir%\inf\mdmeric3.PNF
并在可移动存储上创建~WTR数字.Tmp和Copy of ShortCut to .lnk等文件。
Mrxcls.sys 和Mrxnet.sys具有合法的数字签名。
由于调用了lsass.exe这个系统进程做坏事,因此在中毒机器内会看到至少3个lsass.exe进程。(有两个是病毒启动的)
然后病毒会将自身注入到services.exe,在services中,病毒会通过查找SOFTWARE\SIEMENS\STEP7,SOFTWARE\SIEMENS\WinCC\Setup等注册表项检测西门子软件。病毒还能禁用Windows Defender等杀毒软件的保护。
[责任编辑:秦溢博]