瑞星:Stuxnet病毒技術(shù)分析報(bào)告
2010-09-27 16:01:34病毒具有后門(mén)功能: 病毒會(huì)通過(guò)80端口連接遠(yuǎn)程服務(wù)器并發(fā)送請(qǐng)求http://[SERVER_ADDRESS]/index.php?data=[DATA]
其中服務(wù)器地址為:
www.*****mierfutbol.com
www.*****sfutbol.com
發(fā)送的數(shù)據(jù)包括:
1、Windows版本信息
2、計(jì)算機(jī)名
3、網(wǎng)絡(luò)組名稱(chēng)
4、是否安裝了工控軟件
5、網(wǎng)卡的IP地址
發(fā)送完畢數(shù)據(jù)后,病毒會(huì)等待服務(wù)器響應(yīng),之后病毒可以根據(jù)服務(wù)器的要求執(zhí)行以下功能:
1、讀文件
2、寫(xiě)文件
3、刪除文件
4、創(chuàng)建進(jìn)程
5、注入dll
6、加載dll并運(yùn)行
7、更新配置信息
8、下載文件,解密并執(zhí)行
Rootkit隱藏功能:
病毒具有良好的隱藏性。病毒會(huì)查找totalcmd.exe,wincmd.exe等進(jìn)程,掛鉤kernel32.dll的FindFirstFileW,FindNextFileW,FindFirstFileExW,Ntdll的NtQueryDirectoryFile,ZwQueryDirectoryFile函數(shù)隱藏其釋放的.lnk或者~WTR(數(shù)字).tmp文件。使得通過(guò)此類(lèi)文件查找工具也無(wú)法找到他們。
針對(duì)工控軟件(SCADA)的攻擊功能:
病毒會(huì)利用SieMens Simatic Wincc的默認(rèn)密碼安全繞過(guò)漏洞利用默認(rèn)的用戶名和密碼并利用已經(jīng)編寫(xiě)好的SQL語(yǔ)句讀取數(shù)據(jù)庫(kù)數(shù)據(jù)。漏洞詳情:http://it.slashdot.org/comments.pl?sid=1721020&cid=32920758
嘗試從數(shù)據(jù)庫(kù)中讀取特定數(shù)據(jù):
GracS\cc_tag.sav
GracS\cc_alg.sav
GracS\db_log.sav
GracS\cc_tlg7.sav
*.S7P
*.MCP
*.LDF
3/4 首頁(yè) 上一頁(yè) 1 2 3 4 下一頁(yè) 尾頁(yè)