網站首頁 > 熱門病毒專題 > 江民發佈"超級工廠"Worm/Stuxnet技術分析報告
 
標題:江民發佈"超級工廠"Worm/Stuxnet技術分析報告
分類:熱門病毒專題 日期:2010/9/28 上午 10:01:55

江民公司於2010年7月20日開始截獲Worm/Stuxnet蠕蟲家族變種。Worm/Stuxnet利用多種Windows系統漏洞進行傳播,試圖攻擊西門子SIMATIC WinCC監控與資料獲取(SCADA)系統。西門子SIMATIC WinCC SCADA系統用於工業控制領域,一旦運行該系統的伺服器感染了Worm/Stuxnet,工業控制指令和資料等資訊可能被病毒攔截、竊取或修改。此外,該蠕蟲還會從網際網路進行更新和接收駭客命令,使感染主機被駭客遠端完全控制,成為“僵屍電腦”。
下面是詳細技術分析報告。

一、傳播途徑

1,利用Windows Shell快捷方式漏洞(MS10-046)和USB碟傳播
USB碟傳播是Worm/Stuxnet主要傳播途徑之一。病毒會在移動存儲設備的根目錄下創建如下病毒檔:
~WTR4132.tmp
~WTR4141.tmp
同時,還會創建下列快捷方式檔,指向~WTR4141.tmp文件:
Copy of Shortcut to.lnk
Copy of Copy of Shortcut to.lnk
Copy of Copy of Copy of Shortcut to.lnk
Copy of Copy of Copy of Copy of Shortcut to.lnk
在沒有安裝MS10-046補丁的Windows系統中上使用被感染的USB碟時,只需在資源管理器中訪問USB碟根目錄,即會自動載入病毒模組~WTR4141.tmp,~WTR4141.tmp進而載入~WTR4132.tmp,造成系統感染。

2,利用MS10-061漏洞和WBEM傳播
病毒會利用Windows Spooler漏洞(MS10-061),攻擊區域網路上開啟了“檔和印表機共用”的機器。被成功攻陷的電腦上會生成2個病毒檔:
%SystemDir%\winsta.exe
%SystemDir%\wbem\mof\sysnullevnt.mof
%SystemDir%\wbem\mof\sysnullevnt.mof將會在某時刻自動執行%SystemDir%\winsta.exe(即病毒檔),造成感染。

3,利用共用檔夾傳播
病毒掃描區域網路機器的預設共用C$和admin$,並嘗試在遠端電腦上創建病毒檔:
DEFRAG<亂數字>.TMP
檔創建成功後,病毒會再遠端創建一個計畫任務,來定時啟動病毒體。

4,利用MS08-067漏洞傳播
病毒向存在MS08-067漏洞的遠端電腦發送惡意RPC請求,一旦攻擊成功,即可完全控制被攻擊電腦,進行感染。

二、隱藏自身

1,用戶層隱藏
病毒檔~WTR4141.tmp從USB碟被載入後,對下列系統API進行Hook:
FindFirstFileW
FindNextFileW
FindFirstFileExW
NtQueryDirectoryFile
ZwQueryDirectoryFile
企圖隱藏病毒在USB碟上的病毒檔。用戶使用Windows資源管理器或其他使用用戶層API查看檔目錄的工具,都無法看到病毒檔的存在。

2,驅動層隱藏
病毒釋放出檔系統過濾驅動mrxnet.sys,從內核層面對病毒檔進行隱藏。驅動層隱藏在功能目的上,與上述用戶層隱藏是一致的。
Worm/Stuxnet會為mrxnet.sys創建一個系統服務,服務名為MRXNET,每次系統啟動時自動載入。

三、攻擊西門子SIMATIC WinCC SCADA系統
Mrxcls.sys是病毒釋放出來的另一個驅動程式,病毒也為它建立了一個名為MRXCLS的服務,負責在Windows啟動時自動載入該驅動。
Mrxcls.sys將會向名稱為services.exe,S7tgtopx.exe,CCProjectMgr.exe的進程中注入並執行病毒代碼。S7tgtopx.exe和CCProjectMgr.exe都是與西門子系統相關的進程。被注入的代碼尋找名為“s7otbxsx.dll”的模組,並嘗試hook該模組中的下列API函數:
s7_event
s7ag_bub_cycl_read_create
s7ag_bub_read_var
s7ag_bub_write_var
s7ag_link_in
s7ag_read_szl
s7ag_test
s7blk_delete
s7blk_findfirst
s7blk_findnext
s7blk_read
s7blk_write
s7db_close
s7db_open
s7ag_bub_read_var_seg
s7ag_bub_write_var_seg

四、從網際網路更新和接收駭客命令
病毒嘗試訪問下面功能變數名稱,進行自身更新和接收駭客命令,
www.mypremierfutbol.com
www.todaysfutbol.com

五、防範措施
1,安裝Windows安全更新
特別是MS08-067,MS10-046,MS10-061這三個補丁一定要安裝。

2,關閉預設共用C$和admin$
可用下面命令行實現:
net share admin$ /del
net share c$ /del

3,遮罩病毒功能變數名稱
可手工修改%SystemDir%\drivers\etc\hosts檔,加入下列兩行:
127.0.0.1       www.mypremierfutbol.com
127.0.0.1       www.todaysfutbol.com

4,安裝防毒軟體防護
安裝江民防毒軟體,及時升級病毒庫,開啟即時防護功能,即可有效查殺防禦Worm/Stuxnet蠕蟲家族。

 
 
 
CopyRight  © 江民科技 1996 - 2021 版權所有 All Rights Reserved
總代理:六合國際實業有限公司 E-mail: jiangmin@jiangmin.com.tw