天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

江民发布“超级工厂”Worm/Stuxnet技术分析报告

2010-9-28华军资讯佚名

江民公司于2010年7月20日在国内开始截获Worm/Stuxnet蠕虫家族变种。Worm/Stuxnet利用多种Windows系统漏洞进行传播,试图攻击西门子SIMATIC WinCC监控与数据采集(SCADA)系统。西门子SIMATIC WinCC SCADA系统用于工业控制领域,一旦运行该系统的服务器感染了Worm/Stuxnet,工业控制指令和数据等信息可能被病毒拦截、窃取或修改。此外,该蠕虫还会从互联网进行更新和接收黑客命令,使感染主机被黑客远程完全控制,成为“僵尸计算机”。

下面是详细技术分析报告。

一、传播途径

1.利用Windows Shell快捷方式漏洞(MS10-046)和U盘传播

U盘传播是Worm/Stuxnet主要传播途径之一。病毒会在移动存储设备的根目录下创建如下病毒文件:

~WTR4132.tmp

~WTR4141.tmp

同时,还会创建下列快捷方式文件,指向~WTR4141.tmp文件:

Copy of Shortcut to.lnk

Copy of Copy of Shortcut to.lnk

Copy of Copy of Copy of Shortcut to.lnk

Copy of Copy of Copy of Copy of Shortcut to.lnk

在没有安装MS10-046补丁的Windows系统中上使用被感染的U盘时,只需在资源管理器中访问U盘根目录,即会自动加载病毒模块~WTR4141.tmp,~WTR4141.tmp进而加载~WTR4132.tmp,造成系统感染。

2.利用MS10-061漏洞和WBEM传播

病毒会利用Windows Spooler漏洞(MS10-061),攻击局域网上开启了“文件和打印机共享”的机器。被成功攻陷的计算机上会生成2个病毒文件:

%SystemDir%\winsta.exe

%SystemDir%\wbem\mof\sysnullevnt.mof

%SystemDir%\wbem\mof\sysnullevnt.mof将会在某时刻自动执行%SystemDir%\winsta.exe(即病毒文件),造成感染。

3.利用共享文件夹传播

病毒扫描局域网机器的默认共享C$和admin$,并尝试在远程计算机上创建病毒文件:

DEFRAG<随机数字>.TMP

文件创建成功后,病毒会再远程创建一个计划任务,来定时启动病毒体。

4.利用MS08-067漏洞传播

病毒向存在MS08-067漏洞的远程计算机发送恶意RPC请求,一旦攻击成功,即可完全控制被攻击计算机,进行感染。

二、隐藏自身

1.用户层隐藏

病毒文件~WTR4141.tmp从U盘被加载后,对下列系统API进行Hook:

FindFirstFileW

FindNextFileW

FindFirstFileExW

NtQueryDirectoryFile

ZwQueryDirectoryFile

企图隐藏病毒在U盘上的病毒文件。用户使用Windows资源管理器或其他使用用户层API查看文件目录的工具,都无法看到病毒文件的存在。

2.驱动层隐藏

病毒释放出文件系统过滤驱动mrxnet.sys,从内核层面对病毒文件进行隐藏。驱动层隐藏在功能目的上,与上述用户层隐藏是一致的。

Worm/Stuxnet会为mrxnet.sys创建一个系统服务,服务名为MRXNET,每次系统启动时自动加载。

三、攻击西门子SIMATIC WinCC SCADA系统

Mrxcls.sys是病毒释放出来的另一个驱动程序,病毒也为它建立了一个名为MRXCLS的服务,负责在Windows启动时自动加载该驱动。

Mrxcls.sys将会向名称为services.exe,S7tgtopx.exe,CCProjectMgr.exe的进程中注入并执行病毒代码。S7tgtopx.exe和CCProjectMgr.exe都是与西门子系统相关的进程。被注入的代码寻找名为“s7otbxsx.dll”的模块,并尝试hook该模块中的下列API函数:

s7_event

s7ag_bub_cycl_read_create

s7ag_bub_read_var

s7ag_bub_write_var

s7ag_link_in

s7ag_read_szl

s7ag_test

s7blk_delete

s7blk_findfirst

s7blk_findnext

s7blk_read

s7blk_write

s7db_close

s7db_open

s7ag_bub_read_var_seg

s7ag_bub_write_var_seg

四、从互联网更新和接收黑客命令

病毒尝试访问下面域名,进行自身更新和接收黑客命令,

www.mypremierfutbol.com

www.todaysfutbol.com

五、防范措施

1.安装Windows安全更新

特别是MS08-067,MS10-046,MS10-061这三个补丁一定要安装。

2.关闭默认共享C$和admin$

可用下面命令行实现:

net share admin$ /del

net share c$ /del

3.屏蔽病毒域名

可手工修改%SystemDir%\drivers\etc\hosts文件,加入下列两行:

127.0.0.1 www.mypremierfutbol.com

127.0.0.1 www.todaysfutbol.com

4.安装杀毒软件防护

安装江民杀毒软件,及时升级病毒库,开启实时防护功能,即可有效查杀防御Worm/Stuxnet蠕虫家族。

本文来源:华军资讯 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行