Worm.Win32.Stuxnet病毒分析
病毒名称:
Worm.Win32.Stuxnet
病毒概述:
这是一个可以通过微软MS10-046漏洞(lnk文件漏洞),MS10-061(打印服务漏洞),MS08-067等多种漏洞传播的恶性蠕虫病毒。另外该病毒还可以专门针对西门子的SCADA软件进行特定攻击,以获取其需要的信息。
技术细节:
传播方式:
1. 通过MS10-046漏洞传播
病毒运行后会拷贝自身到移动存储上并命名为~WTR数字.Tmp(动态库)和一个注入下列文件名的lnk文件组成:
Copy of ShortCut to .lnk
Copy of Copy of ShortCut to .lnk
Copy of Copy of Copy of ShortCut to .lnk…
在存在MS10-046漏洞的机器上,只需浏览这些lnk,Explorer.exe就会将~WTR数字.Tmp加载起来。
2. 通过MS10-061漏洞传播
该病毒还会利用打印机或打印机共享漏洞MS10-061漏洞传播。病毒会将自身拷贝到存在该漏洞的远程机器的%system%目录下,并利用WMI将其执行起来。
3. 通过共享文件夹传播
该病毒还会试图将自身拷贝到局域网共享文件夹下,并命名为类似DEFRAG(随机数字).tmp的名称。
4. 通过MS08-067漏洞传播
该病毒还会利用MS08-067漏洞传播。