"超級工廠"病毒Worm/Stuxnet技術分析報告
hackbase.com... 來源:江民科技
江民公司於2010年7月20日在國內開始截獲Worm/Stuxnet蠕蟲家族變種。Worm/Stuxnet利用多種Windows係統漏洞進行傳播,試圖攻擊西門子SIMATIC WinCC監控與數據采集(SCADA)係統。西門子SIMATIC WinCC SCADA係統用 ...
江民公司於2010年7月20日在國內開始截獲Worm/Stuxnet蠕蟲家族變種。Worm/Stuxnet利用多種Windows係統漏洞進行傳播,試圖攻擊西門子SIMATIC WinCC監控與數據采集(SCADA)係統。西門子SIMATIC WinCC SCADA係統用於工業控制領域,一旦運行該係統的服務器感染了Worm/Stuxnet,工業控制指令和數據等信息可能被病毒攔截、竊取或修改。此外,該蠕蟲還會從互聯網進行更新和接收黑客命令,使感染主機被黑客遠程完全控制,成爲“僵屍計算機”。
下面是詳細技術分析報告。
一、傳播途徑
1,利用Windows Shell快捷方式漏洞(MS10-046)和U盤傳播
U盤傳播是Worm/Stuxnet主要傳播途徑之一。病毒會在移動存儲設備的根目錄下創建如下病毒文件:
~WTR4132.tmp
~WTR4141.tmp
同時,還會創建下列快捷方式文件,指向~WTR4141.tmp文件:
Copy of Shortcut to.lnk
Copy of Copy of Shortcut to.lnk
Copy of Copy of Copy of Shortcut to.lnk
Copy of Copy of Copy of Copy of Shortcut to.lnk
在沒有安裝MS10-046補丁的Windows係統中上使用被感染的U盤時,只需在資源管理器中訪問U盤根目錄,即會自動加載病毒模塊~WTR4141.tmp,~WTR4141.tmp進而加載~WTR4132.tmp,造成係統感染。
2,利用MS10-061漏洞和WBEM傳播
病毒會利用Windows Spooler漏洞(MS10-061),攻擊局域網上開啓了“文件和打印機共享”的機器。被成功攻陷的計算機上會生成2個病毒文件:
%SystemDir%\winsta.exe
%SystemDir%\wbem\mof\sysnullevnt.mof
%SystemDir%\wbem\mof\sysnullevnt.mof將會在某時刻自動執行%SystemDir%\winsta.exe(即病毒文件),造成感染。
3,利用共享文件夾傳播
病毒掃描局域網機器的默認共享C$和admin$,並嘗試在遠程計算機上創建病毒文件:
DEFRAG<隨機數字>.TMP
文件創建成功後,病毒會再遠程創建一個計劃任務,來定時啓動病毒體。
4,利用MS08-067漏洞傳播
病毒向存在MS08-067漏洞的遠程計算機發送惡意RPC請求,一旦攻擊成功,即可完全控制被攻擊計算機,進行感染。
二、隱藏自身
1,用戶層隱藏
病毒文件~WTR4141.tmp從U盤被加載後,對下列係統API進行Hook:
FindFirstFileW
FindNextFileW
FindFirstFileExW
NtQueryDirectoryFile
ZwQueryDirectoryFile
企圖隱藏病毒在U盤上的病毒文件。用戶使用Windows資源管理器或其他使用用戶層API查看文件目錄的工具,都無法看到病毒文件的存在。
2,驅動層隱藏
病毒釋放出文件係統過濾驅動mrxnet.sys,從內核層面對病毒文件進行隱藏。驅動層隱藏在功能目的上,與上述用戶層隱藏是一致的。
Worm/Stuxnet會爲mrxnet.sys創建一個係統服務,服務名爲MRXNET,每次係統啓動時自動加載。
三、攻擊西門子SIMATIC WinCC SCADA係統
Mrxcls.sys是病毒釋放出來的另一個驅動程序,病毒也爲它建立了一個名爲MRXCLS的服務,負責在Windows啓動時自動加載該驅動。
Mrxcls.sys將會向名稱爲services.exe,S7tgtopx.exe,CCProjectMgr.exe的進程中注入並執行病毒代碼。S7tgtopx.exe和CCProjectMgr.exe都是與西門子係統相關的進程。被注入的代碼尋找名爲“s7otbxsx.dll”的模塊,並嘗試hook該模塊中的下列API函數:
s7_event
s7ag_bub_cycl_read_create
s7ag_bub_read_var
s7ag_bub_write_var
s7ag_link_in
s7ag_read_szl
s7ag_test
s7blk_delete
s7blk_findfirst
s7blk_findnext
s7blk_read
s7blk_write
s7db_close
s7db_open
s7ag_bub_read_var_seg
s7ag_bub_write_var_seg
四、從互聯網更新和接收黑客命令
病毒嘗試訪問下面域名,進行自身更新和接收黑客命令,
mypremierfutbol.com...todaysfutbol.com...五、防範措施
1,安裝Windows安全更新
特別是MS08-067,MS10-046,MS10-061這三個補丁一定要安裝。
2,關閉默認共享C$和admin$
可用下面命令行實現:
net share admin$ /del
net share c$ /del
3,屏蔽病毒域名
可手工修改%SystemDir%\drivers\etc\hosts文件,加入下列兩行:
127.0.0.1
mypremierfutbol.com...127.0.0.1
todaysfutbol.com...4,安裝殺毒軟件防護
安裝江民殺毒軟件,及時升級病毒庫,開啓實時防護功能,即可有效查殺防禦Worm/Stuxnet蠕蟲家族。
