瑞星:Stuxnet病毒技术分析报告
2010-09-27 16:01:34病毒具有后门功能: 病毒会通过80端口连接远程服务器并发送请求http://[SERVER_ADDRESS]/index.php?data=[DATA]
其中服务器地址为:
www.*****mierfutbol.com
www.*****sfutbol.com
发送的数据包括:
1、Windows版本信息
2、计算机名
3、网络组名称
4、是否安装了工控软件
5、网卡的IP地址
发送完毕数据后,病毒会等待服务器响应,之后病毒可以根据服务器的要求执行以下功能:
1、读文件
2、写文件
3、删除文件
4、创建进程
5、注入dll
6、加载dll并运行
7、更新配置信息
8、下载文件,解密并执行
Rootkit隐藏功能:
病毒具有良好的隐藏性。病毒会查找totalcmd.exe,wincmd.exe等进程,挂钩kernel32.dll的FindFirstFileW,FindNextFileW,FindFirstFileExW,Ntdll的NtQueryDirectoryFile,ZwQueryDirectoryFile函数隐藏其释放的.lnk或者~WTR(数字).tmp文件。使得通过此类文件查找工具也无法找到他们。
针对工控软件(SCADA)的攻击功能:
病毒会利用SieMens Simatic Wincc的默认密码安全绕过漏洞利用默认的用户名和密码并利用已经编写好的SQL语句读取数据库数据。漏洞详情:http://it.slashdot.org/comments.pl?sid=1721020&cid=32920758
尝试从数据库中读取特定数据:
GracS\cc_tag.sav
GracS\cc_alg.sav
GracS\db_log.sav
GracS\cc_tlg7.sav
*.S7P
*.MCP
*.LDF