当前位置:首页 > 科技 > 正文

【警戒2号】Stuxnet(超级工厂)病毒技术分析报告

摘要:这是一个可以通过微软MS10-046漏洞(lnk文件漏洞),MS10-061(打印服务漏洞),MS08-067等多种漏洞传播的恶性蠕虫病毒。另外该病毒还可以专门针对西门子的SCADA软件进行特定攻击,以获取其需要的信息。

Worm.Win32.病毒分析

病毒名称:

Worm.Win32.

病毒概述:

这是一个可以通过微软MS10-046漏洞(lnk文件漏洞),MS10-061(打印服务漏洞),MS08-067等多种漏洞传播的恶性蠕虫病毒。另外该病毒还可以专门针对西门子的SCADA软件进行特定攻击,以获取其需要的信息。

技术细节:

传播方式:

1. 通过MS10-046漏洞传播

病毒运行后会拷贝自身到移动存储上并命名为~WTR数字.Tmp(动态库)和一个注入下列文件名的lnk文件组成:

Copy of to .lnk

Copy of Copy of to .lnk

Copy of Copy of Copy of to .lnk…

在存在MS10-046漏洞的机器上,只需浏览这些lnk,.exe就会将~WTR数字.Tmp加载起来。

2. 通过MS10-061漏洞传播

该病毒还会利用打印机或打印机共享漏洞MS10-061漏洞传播。病毒会将自身拷贝到存在该漏洞的远程机器的%%目录下,并利用WMI将其执行起来。

3. 通过共享文件夹传播

该病毒还会试图将自身拷贝到局域网共享文件夹下,并命名为类似(随机数字).tmp的名称。

4. 通过MS08-067漏洞传播

该病毒还会利用MS08-067漏洞传播。

病毒的主要功能以及大致流程:

当用户浏览可移动存储上的Copy of to .lnk文件后,.exe会加载~WTR数字.Tmp,然后病毒会加载自身的另一个名为~WTR数字.Tmp的动态库。在加载该恶意dll时,病毒并没有通过普通的函数加载,为了隐藏自身模块,同时为了达到不释放文件来加载病毒模块的目的,它采取了一个特殊方式。病毒会首先hook ntdll的一些导出函数,然后,它会构造一个特殊的并不存在的文件名如.dll.aslr,然后以此为参数调用,正常情况下,该调用会失败因为该文件并不存在,但是因为病毒已经提前Hook了Ntdll,hook函数会监控对此类特殊文件名的打开操作。如果发现是自身构造的虚假文件名,则会重定向到其他位置,比如另一个文件或者通常情况下是一块已经被病毒解密过的内存,这样,外界看到的是一个常见的模块名比如,而实际上是病毒模块。这样病毒就达到了隐藏自身的目的。

你可能想看:

【警戒2号】Stuxnet(超级工厂)病毒技术分析报告

另外该病毒还可以专门针对西门子的SCADA软件进行特定攻击,以获取其需要的信息。另外该病毒还可以专门针对西门子的SCADA软件进行特定攻击,以获取其需要的信息。该病毒还会利用打印机或打印机共享漏洞MS...

BitDefender发布超级工厂病毒Stuxnet专杀工具

据来自中国的最新消息,已发布了针对超级工厂病毒的专杀工具(国内译成“震网”、“超级病毒”或“超级工厂”,以下称“超级工厂”)。当然我们考虑到为了帮助全球千万用户免受该蠕虫的攻击,我们特发布了针对该蠕虫...

金山毒霸:超级工厂病毒变种(Stuxnet)已传入我国

10月18日,国外安全厂商报道超级工厂出现变种Duqu,金山毒霸检索发现,8月25日即捕获到Duqu病毒样本,表明该病毒已经传入我国。金山毒霸云系统数据显示8月份即捕获Duqu病毒样本金山毒霸实时监控...

BitDefender发布超级工厂病毒Stuxnet专杀工具

据来自中国的最新消息,已发布了针对超级工厂病毒的专杀工具(国内译成“震网”、“超级病毒”或“超级工厂”,以下称“超级工厂”)。当然我们考虑到为了帮助全球千万用户免受该蠕虫的攻击,我们特发布了针对该蠕虫...

金山毒霸:超级工厂病毒变种(Stuxnet)已传入我国

10月18日,国外安全厂商报道超级工厂出现变种Duqu,金山毒霸检索发现,8月25日即捕获到Duqu病毒样本,表明该病毒已经传入我国。金山毒霸云系统数据显示8月份即捕获Duqu病毒样本金山毒霸实时监控...

卡巴斯基:360欺骗4亿网民 胡乱解读超级工厂病毒

卡巴斯基实验室于2010年7月15日向全球公布了对“”病毒(国内译成“震网”、“超级病毒”或“超级工厂”,以下称“超级工厂”)的技术分析,并于9月24日由其创始人及CEO尤金·卡巴斯基先生公布了更为深...

卡巴斯基:360骗4亿网民 误读超级工厂病毒

卡巴斯基实验室于2010年7月15日向全球公布了对“”病毒(国内译成“震网”、“超级病毒”或“超级工厂”,以下称“超级工厂”)的技术分析,并于9月24日由其创始人及CEO尤金·卡巴斯基先生公布了更为深...

卡巴斯基:360欺骗4亿网民 胡乱解读超级工厂病毒

卡巴斯基实验室于2010年7月15日向全球公布了对“”病毒(国内译成“震网”、“超级病毒”或“超级工厂”,以下称“超级工厂”)的技术分析,并于9月24日由其创始人及CEO尤金·卡巴斯基先生公布了更为深...

卡巴斯基:360骗4亿网民 误读超级工厂病毒

卡巴斯基实验室于2010年7月15日向全球公布了对“”病毒(国内译成“震网”、“超级病毒”或“超级工厂”,以下称“超级工厂”)的技术分析,并于9月24日由其创始人及CEO尤金·卡巴斯基先生公布了更为深...

GCMail邮件服务器对“超级工厂”病毒攻击采取了哪些防御措施

与此同时,在邮件服务器商同样采取的有效的防御措施,对“超级工厂”病毒攻击作出了强烈的回应,内嵌卡巴斯基杀毒引擎,并且进行24小时的反病毒监测,实时处理,实现病毒库在线升级。

GCMail邮件服务器对“超级工厂”病毒攻击采取了哪些防御措施

与此同时,在邮件服务器商同样采取的有效的防御措施,对“超级工厂”病毒攻击作出了强烈的回应,内嵌卡巴斯基杀毒引擎,并且进行24小时的反病毒监测,实时处理,实现病毒库在线升级。

手把手教你用Stata的Network包实现分类变量网状Meta分析

Stata是一款非常强大的统计和作图软件。网上目前存在的教程多半是用mvmeta包来做网状Meta,本文将介绍用Stata的Network包实现连续性变量的网状Meta分析,2. 将要处理的数据在Ex...

手把手教你用Stata的Network包实现分类变量网状Meta分析

Stata是一款非常强大的统计和作图软件。网上目前存在的教程多半是用mvmeta包来做网状Meta,本文将介绍用Stata的Network包实现连续性变量的网状Meta分析,2. 将要处理的数据在Ex...

FastStone Capture下载

FastStone Capture官方版是一款非常实用的截图以及图像处理捕捉软件,能够帮助用户轻松截取当前屏幕上的所有画面,除提供缩放、旋转、剪切、格式转换、调整大小等基本功能外。

FastStone Capture下载

FastStone Capture官方版是一款非常实用的截图以及图像处理捕捉软件,能够帮助用户轻松截取当前屏幕上的所有画面,除提供缩放、旋转、剪切、格式转换、调整大小等基本功能外。

Microsoft net framework 2 0(Microsoft net framework 2.0)

该框架旨在创建可用性Windows运行在平台上的应用程序,Web也可以使用服务.Net开发框架。  公共语言基础结构或CLI在其上执行.Net程序平台,  c)使用各种编程语言-开发人员可以使用人员....

Microsoft net framework 2 0(Microsoft net framework 2.0)

该框架旨在创建可用性Windows运行在平台上的应用程序,Web也可以使用服务.Net开发框架。  公共语言基础结构或CLI在其上执行.Net程序平台,  c)使用各种编程语言-开发人员可以使用人员....

超级工厂变种6月侵入中国 360称曾感染我高新企业

图1:360云安全数据中心在今年6月已捕获“超级工厂”病毒变种360云安全数据中心检索结果显示,“超级工厂”病毒变种的文件生成时间早在2010年11月4日,问世七个月后,该病毒于2011年6月15日侵...

超级工厂变种6月侵入中国 360称曾感染我高新企业

图1:360云安全数据中心在今年6月已捕获“超级工厂”病毒变种360云安全数据中心检索结果显示,“超级工厂”病毒变种的文件生成时间早在2010年11月4日,问世七个月后,该病毒于2011年6月15日侵...

Common risk factors in the returns on stocks and bonds

美国普通股平均收益的横截面与夏普比例(1964)TLNTNER(1965)资产定价模型或BREEDEN(1979)等跨期资产消费定价模型的消费关系不大,在资产定价理论中没有特殊地位的变量显示了可靠的解...

病毒漏洞传播加载打印

上一篇
事情多睡不着的说说(优选50句)

下一篇
简述心源性休克的临床分期

有话要说...

最新文章

取消
扫码支持 支付码