瑞星:Stuxnet病毒技術(shù)分析報(bào)告
2010-09-27 16:01:34Worm.Win32.Stuxnet病毒分析
病毒名稱:
Worm.Win32.Stuxnet
病毒概述:
這是一個(gè)可以通過微軟MS10-046漏洞(lnk文件漏洞),MS10-061(打印服務(wù)漏洞),MS08-067等多種漏洞傳播的惡性蠕蟲病毒。另外該病毒還可以專門針對西門子的SCADA軟件進(jìn)行特定攻擊,以獲取其需要的信息。
技術(shù)細(xì)節(jié):
傳播方式:
1.?通過MS10-046漏洞傳播
病毒運(yùn)行后會拷貝自身到移動(dòng)存儲上并命名為~WTR數(shù)字.Tmp(動(dòng)態(tài)庫)和一個(gè)注入下列文件名的lnk文件組成:
Copy of ShortCut to .lnk
Copy of Copy of ShortCut to .lnk
Copy of Copy of Copy of ShortCut to .lnk…
?在存在MS10-046漏洞的機(jī)器上,只需瀏覽這些lnk,Explorer.exe就會將~WTR數(shù)字.Tmp加載起來。
2.?通過MS10-061漏洞傳播
該病毒還會利用打印機(jī)或打印機(jī)共享漏洞MS10-061漏洞傳播。病毒會將自身拷貝到存在該漏洞的遠(yuǎn)程機(jī)器的%system%目錄下,并利用WMI將其執(zhí)行起來。
3.?通過共享文件夾傳播
該病毒還會試圖將自身拷貝到局域網(wǎng)共享文件夾下,并命名為類似DEFRAG(隨機(jī)數(shù)字).tmp的名稱。
4.?通過MS08-067漏洞傳播
該病毒還會利用MS08-067漏洞傳播。
病毒的主要功能以及大致流程:
當(dāng)用戶瀏覽可移動(dòng)存儲上的Copy of ShortCut to .lnk文件后,Explorer.exe會加載~WTR數(shù)字.Tmp,然后病毒會加載自身的另一個(gè)名為~WTR數(shù)字.Tmp的動(dòng)態(tài)庫。在加載該惡意dll時(shí),病毒并沒有通過普通的LoadLibrary函數(shù)加載,為了隱藏自身模塊,同時(shí)為了達(dá)到不釋放文件來加載病毒模塊的目的,它采取了一個(gè)特殊方式。病毒會首先hook ntdll的一些導(dǎo)出函數(shù),然后,它會構(gòu)造一個(gè)特殊的并不存在的文件名如Kernel32.dll.aslr,然后以此為參數(shù)調(diào)用LoadLibrary,正常情況下,該調(diào)用會失敗因?yàn)樵撐募⒉淮嬖冢且驗(yàn)椴《疽呀?jīng)提前Hook了Ntdll,hook函數(shù)會監(jiān)控對此類特殊文件名的打開操作。如果發(fā)現(xiàn)是自身構(gòu)造的虛假文件名,則會重定向到其他位置,比如另一個(gè)文件或者通常情況下是一塊已經(jīng)被病毒解密過的內(nèi)存,這樣,外界看到的是一個(gè)常見的模塊名比如Kernel32,而實(shí)際上是病毒模塊。這樣病毒就達(dá)到了隱藏自身的目的。