瑞星:Stuxnet病毒技術分析報告
2010-09-27 16:01:34摘要:這是一個可以通過微軟MS10-046漏洞(lnk文件漏洞),MS10-061(打印服務漏洞),MS08-067等多種漏洞傳播的惡性蠕蟲病毒。另外該病毒還可以專門針對西門子的SCADA軟件進行特定攻擊,以獲取其需要的信息。
病毒具有后門功能: 病毒會通過80端口連接遠程服務器并發送請求http://[SERVER_ADDRESS]/index.php?data=[DATA]
其中服務器地址為:
www.*****mierfutbol.com
www.*****sfutbol.com
發送的數據包括:
1、Windows版本信息
2、計算機名
3、網絡組名稱
4、是否安裝了工控軟件
5、網卡的IP地址
發送完畢數據后,病毒會等待服務器響應,之后病毒可以根據服務器的要求執行以下功能:
1、讀文件
2、寫文件
3、刪除文件
4、創建進程
5、注入dll
6、加載dll并運行
7、更新配置信息
8、下載文件,解密并執行
Rootkit隱藏功能:
病毒具有良好的隱藏性。病毒會查找totalcmd.exe,wincmd.exe等進程,掛鉤kernel32.dll的FindFirstFileW,FindNextFileW,FindFirstFileExW,Ntdll的NtQueryDirectoryFile,ZwQueryDirectoryFile函數隱藏其釋放的.lnk或者~WTR(數字).tmp文件。使得通過此類文件查找工具也無法找到他們。
針對工控軟件(SCADA)的攻擊功能:
病毒會利用SieMens Simatic Wincc的默認密碼安全繞過漏洞利用默認的用戶名和密碼并利用已經編寫好的SQL語句讀取數據庫數據。漏洞詳情:http://it.slashdot.org/comments.pl?sid=1721020&cid=32920758
嘗試從數據庫中讀取特定數據:
GracS\cc_tag.sav
GracS\cc_alg.sav
GracS\db_log.sav
GracS\cc_tlg7.sav
*.S7P
*.MCP
*.LDF
[責任編輯:秦溢博]