瑞星:Stuxnet病毒技術(shù)分析報(bào)告
2010-09-27 16:01:34摘要:這是一個(gè)可以通過微軟MS10-046漏洞(lnk文件漏洞),MS10-061(打印服務(wù)漏洞),MS08-067等多種漏洞傳播的惡性蠕蟲病毒。另外該病毒還可以專門針對(duì)西門子的SCADA軟件進(jìn)行特定攻擊,以獲取其需要的信息。
之后病毒會(huì)運(yùn)行l(wèi)sass.exe并修改程序的內(nèi)存,然后釋放如下文件:
%System%\drivers\mrxcls.sys
%System%\drivers\mrxnet.sys
%Windir%\inf\oem6C.PNF
%Windir%\inf\oem7A.PNF
%Windir%\inf\mdmcpq3.PNF
%Windir%\inf\mdmeric3.PNF
并在可移動(dòng)存儲(chǔ)上創(chuàng)建~WTR數(shù)字.Tmp和Copy of ShortCut to .lnk等文件。
Mrxcls.sys 和Mrxnet.sys具有合法的數(shù)字簽名。
由于調(diào)用了lsass.exe這個(gè)系統(tǒng)進(jìn)程做壞事,因此在中毒機(jī)器內(nèi)會(huì)看到至少3個(gè)lsass.exe進(jìn)程。(有兩個(gè)是病毒啟動(dòng)的)
然后病毒會(huì)將自身注入到services.exe,在services中,病毒會(huì)通過查找SOFTWARE\SIEMENS\STEP7,SOFTWARE\SIEMENS\WinCC\Setup等注冊(cè)表項(xiàng)檢測西門子軟件。病毒還能禁用Windows Defender等殺毒軟件的保護(hù)。
[責(zé)任編輯:秦溢博]