瑞星:Stuxnet病毒技術(shù)分析報告
2010-09-27 16:01:34病毒具有后門功能: 病毒會通過80端口連接遠程服務器并發(fā)送請求http://[SERVER_ADDRESS]/index.php?data=[DATA]
其中服務器地址為:
www.*****mierfutbol.com
www.*****sfutbol.com
發(fā)送的數(shù)據(jù)包括:
1、Windows版本信息
2、計算機名
3、網(wǎng)絡組名稱
4、是否安裝了工控軟件
5、網(wǎng)卡的IP地址
發(fā)送完畢數(shù)據(jù)后,病毒會等待服務器響應,之后病毒可以根據(jù)服務器的要求執(zhí)行以下功能:
1、讀文件
2、寫文件
3、刪除文件
4、創(chuàng)建進程
5、注入dll
6、加載dll并運行
7、更新配置信息
8、下載文件,解密并執(zhí)行
Rootkit隱藏功能:
病毒具有良好的隱藏性。病毒會查找totalcmd.exe,wincmd.exe等進程,掛鉤kernel32.dll的FindFirstFileW,FindNextFileW,FindFirstFileExW,Ntdll的NtQueryDirectoryFile,ZwQueryDirectoryFile函數(shù)隱藏其釋放的.lnk或者~WTR(數(shù)字).tmp文件。使得通過此類文件查找工具也無法找到他們。
針對工控軟件(SCADA)的攻擊功能:
病毒會利用SieMens Simatic Wincc的默認密碼安全繞過漏洞利用默認的用戶名和密碼并利用已經(jīng)編寫好的SQL語句讀取數(shù)據(jù)庫數(shù)據(jù)。漏洞詳情:http://it.slashdot.org/comments.pl?sid=1721020&cid=32920758
嘗試從數(shù)據(jù)庫中讀取特定數(shù)據(jù):
GracS\cc_tag.sav
GracS\cc_alg.sav
GracS\db_log.sav
GracS\cc_tlg7.sav
*.S7P
*.MCP
*.LDF