瑞星：Stuxnet病毒技術分析報告

2010-09-27 16:01:34

摘要：這是一個可以通過微軟MS10-046漏洞（lnk文件漏洞），MS10-061（打印服務漏洞），MS08-067等多種漏洞傳播的惡性蠕蟲病毒。另外該病毒還可以專門針對西門子的SCADA軟件進行特定攻擊，以獲取其需要的信息。

之后病毒會運行lsass.exe并修改程序的內存，然后釋放如下文件：

%System%\drivers\mrxcls.sys

%System%\drivers\mrxnet.sys

%Windir%\inf\oem6C.PNF

%Windir%\inf\oem7A.PNF

%Windir%\inf\mdmcpq3.PNF

%Windir%\inf\mdmeric3.PNF

并在可移動存儲上創建~WTR數字.Tmp和Copy of ShortCut to .lnk等文件。

Mrxcls.sys 和Mrxnet.sys具有合法的數字簽名。

由于調用了lsass.exe這個系統進程做壞事，因此在中毒機器內會看到至少3個lsass.exe進程。（有兩個是病毒啟動的）

然后病毒會將自身注入到services.exe，在services中，病毒會通過查找SOFTWARE\SIEMENS\STEP7，SOFTWARE\SIEMENS\WinCC\Setup等注冊表項檢測西門子軟件。病毒還能禁用Windows Defender等殺毒軟件的保護。

[責任編輯：秦溢博]

佐佐木明希黑人经典作品推荐|一小孩和妈妈打扑克(黄)|可恶的妇科医生|国内精品久久久久影院中文字幕|精东影视传媒MV国产剧能看不|国产精品久久久久香蕉|中文字幕精品一二三四五六七八