超级工厂的病毒分析

超级工厂的病毒简介~

Stuxnet又名“震网”，是针对微软件系统以及西门子工业系统的最新病毒，到2013年的今天已感染多个国家及地区的工业系统和个人用户，此病毒可通过网络传播，与以往病毒不同，其代码非常精密。造成伊朗核电站推迟发电的全球首个“超级工厂病毒”Stuxnet，2010-09-25侵入我国。瑞星昨日发布的预警显示，国内已有近500万网民及多个行业的领军企业遭Stuxnet蠕虫病毒攻击，而且由于安全制度上的缺失，该病毒还存在很高的大规模传播风险。 据瑞星安全专家介绍，Stuxnet蠕虫病毒是世界上首个专门针对工业控制系统编写的破坏性病毒，能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。特别是针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击，由于该系统在我国的多个重要行业应用广泛，被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控。Stuxnet及其变种是一种利用最新的Windows Shell漏洞传播恶意文件的蠕虫。造成这个漏洞的原因是Windows 错误地分析快捷方式，当用户单击特制快捷方式的显示图标时可能执行恶意代码（文件带有.LNK扩展名）。

通过USB接口。
凡是感染了病毒的存储设备连接到USB接口上，病毒将自动复制侵入主机。

Worm.Win32.Stuxnet病毒分析 名称： Worm.Win32.Stuxnet
病毒概述：
这是一个可以通过微软MS10-046漏洞（lnk文件漏洞），MS10-061（打印服务漏洞），MS08-067等多种漏洞传播的恶性蠕虫病毒。另外该病毒还可以专门针对西门子的SCADA软件进行特定攻击，以获取其需要的信息。
技术细节：
传播方式：
1. 通过MS10-046漏洞传播
病毒运行后会拷贝自身到移动存储上并命名为~WTR数字.Tmp（动态库）和一个注入下列文件名的lnk文件组成：
Copy of ShortCut to .lnk
Copy of Copy of ShortCut to .lnk
Copy of Copy of Copy of ShortCut to .lnk…
在存在MS10-046漏洞的机器上，只需浏览这些lnk，Explorer.exe就会将~WTR数字.Tmp加载起来。
2. 通过MS10-061漏洞传播
该病毒还会利用打印机或打印机共享漏洞MS10-061漏洞传播。病毒会将自身拷贝到存在该漏洞的远程机器的%system%目录下，并利用WMI将其执行起来。
3. 通过共享文件夹传播
该病毒还会试图将自身拷贝到局域网共享文件夹下，并命名为类似DEFRAG（随机数字）.tmp的名称。
4. 通过MS08-067漏洞传播
该病毒还会利用MS08-067漏洞传播。
病毒的主要功能以及大致流程：
当用户浏览可移动存储上的Copy of ShortCut to .lnk文件后，Explorer.exe会加载~WTR数字.Tmp，然后病毒会加载自身的另一个名为~WTR数字.Tmp的动态库。在加载该恶意dll时，病毒并没有通过普通的LoadLibrary函数加载，为了隐藏自身模块，同时为了达到不释放文件来加载病毒模块的目的，它采取了一个特殊方式。病毒会首先hook ntdll的一些导出函数，然后，它会构造一个特殊的并不存在的文件名如Kernel32.dll.aslr，然后以此为参数调用LoadLibrary，正常情况下，该调用会失败因为该文件并不存在，但是因为病毒已经提前Hook了Ntdll,hook函数会监控对此类特殊文件名的打开操作。如果发现是自身构造的虚假文件名，则会重定向到其他位置，比如另一个文件或者通常情况下是一块已经被病毒解密过的内存，这样，外界看到的是一个常见的模块名比如Kernel32,而实际上是病毒模块。这样病毒就达到了隐藏自身的目的。
之后病毒会运行lsass.exe并修改程序的内存，然后释放如下文件：
%System%\drivers\mrxcls.sys
%System%\drivers\mrxnet.sys
%Windir%\inf\oem6C.PNF
%Windir%\inf\oem7A.PNF
%Windir%\inf\mdmcpq3.PNF
%Windir%\inf\mdmeric3.PNF
并在可移动存储上创建~WTR数字.Tmp和Copy of ShortCut to .lnk等文件。
Mrxcls.sys 和Mrxnet.sys具有合法的数字签名。
由于调用了lsass.exe这个系统进程做坏事，因此在中毒机器内会看到至少3个lsass.exe进程。（有两个是病毒启动的）
然后病毒会将自身注入到services.exe，在services中，病毒会通过查找SOFTWARE\SIEMENS\STEP7，SOFTWARE\SIEMENS\WinCC\Setup等注册表项检测西门子软件。病毒还能禁用Windows Defender等杀毒软件的保护。
病毒具有后门功能： 病毒会通过80端口连接远程服务器并发送请求http://[SERVER_ADDRESS]/index.php?data=[DATA]
其中服务器地址为：
www.****
www.*****
发送的数据包括：
1、Windows版本信息
2、计算机名
3、网络组名称
4、是否安装了工控软件
5、网卡的IP地址
发送完毕数据后，病毒会等待服务器响应，之后病毒可以根据服务器的要求执行以下功能：
1、读文件
2、写文件
3、删除文件
4、创建进程
5、注入dll
6、加载dll并运行
7、更新配置信息
8、下载文件，解密并执行
Rootkit隐藏功能：
病毒具有良好的隐藏性。病毒会查找totalcmd.exe，wincmd.exe等进程，挂钩kernel32.dll的FindFirstFileW,FindNextFileW,FindFirstFileExW，Ntdll的NtQueryDirectoryFile，ZwQueryDirectoryFile函数隐藏其释放的.lnk或者~WTR（数字）.tmp文件。使得通过此类文件查找工具也无法找到他们。
针对工控软件(SCADA)的攻击功能：
病毒会利用SieMens Simatic Wincc的默认密码安全绕过漏洞利用默认的用户名和密码并利用已经编写好的SQL语句读取数据库数据。漏洞详情：****
尝试从数据库中读取特定数据：
GracS\cc_tag.sav
GracS\cc_alg.sav
GracS\db_log.sav
GracS\cc_tlg7.sav
*.S7P
*.MCP
*.LDF
工控系统都包括一个可编程控制器，该控制器实际相当于一个小型的计算机系统，通过配置该系统，可以向控制器中写入新的控制逻辑，从而完成不同的功能。该控制器可以通过专门的软件连接到计算机，从计算机中可以编写工控程序并下载到工控系统中运行。
工控软件要进行控制和编程，需要通过西门子Step 7软件来进行控制，该软件要通过使用内部的s7otbxdx.dll同设备进行通信，病毒通过替换此dll来截获所有与设备间的访问。病毒自身导出了所有原始s7dotbxdx.dll的功能，然后病毒将原始的s7otbxdx.dll重命名为s7otbxsx.dll，然后将自身命名为s7otbxdx.dll,病毒内部再加载s7otbxsx.dll，这样，如果是病毒感兴趣的访问，则病毒可以替换设备传入或者传出的结果，对于其他访问，病毒直接重定向到原始的s7otbxdx.dll。
当向工控系统中写入控制代码时，病毒会修改写入的控制代码，从而感染工控系统。
实际上，在内部，病毒一共hook了16个函数，分别是：
s7_event
s7ag_bub_cycl_read_create
s7ag_bub_read_var
s7ag_bub_write_var
s7ag_link_in
s7ag_read_szl
s7ag_test
s7blk_delete
s7blk_findfirst
s7blk_findnext
s7blk_read
s7blk_write
s7db_close
s7db_open
s7ag_bub_read_var_seg
s7ag_bub_write_var_seg
通过对这些函数的挂钩从而可以任意修改从计算机中写入到工控软件中的代码。当向工控软件正常写入程序时，病毒会感染写入的代码，将自身写入工控软件代码块的头部并修改工控软件的控制结构，使其入口点指向病毒代码。
另外病毒会监控所有与工控软件之间的读写通信，如果发现访问到被感染的块，则会修改返回结果隐藏块中的病毒代码，从而使用户不会发现。

---

海沧区17313631080： 超级工厂是什么病毒 - ？
貊叙恬尔： Stuxnet蠕虫病毒(超级工厂病毒)是世界上首个专门针对工业控制系统编写的破坏性病毒,能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击.特别是针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击,由于该系统在我国的多个重要行业应用广泛,被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控. 传播途径:该病毒主要通过U盘和局域网进行传播.历史“贡献”:曾造成伊朗核电站推迟发电. 2010-09-25,进入中国.更详细的可以查看百科:http://baike.baidu.com/view/4410371.htm

海沧区17313631080： 超级工厂的病毒简介 - ？
貊叙恬尔： Stuxnet又名“震网”,是针对微软件系统以及西门子工业系统的最新病毒,到2013年的今天已感染多个国家及地区的工业系统和个人用户,此病毒可通过网络传播,与以往病毒不同,其代码非常精密.造成伊朗核电站推迟发电的全球首个“超...

海沧区17313631080： 有谁测试下360、360杀毒 能查杀“超级工厂”病毒吗?？
貊叙恬尔：1、“超级工厂”病毒采用了复杂的多层攻击技术,同时利用四种“零日漏洞”对微软操作系统进行攻击,利用两种有效的数字证书(Realtek和JMicron),让自己隐身. 2、“超级工厂”的目的不像一般的病毒,干扰电脑正常运行或盗窃用户...

海沧区17313631080： 金山毒霸2011SP3有没有查杀超级工厂病毒的能力? - ？
貊叙恬尔： 楼主您好! 首先我要代替金山安全团队感谢您使用金山安全产品!下面由我来解答您的问题!金山毒霸2011SP3是有能力查杀并且防御“超级工厂”病毒的,在此病毒还没有进入中国互联网环境的时候,金山安全实验室就对其动态进行了跟踪,以备它突然进入中国.当然就在前不久,毒霸的客户端就已经截获了此病毒的样本特征,并通过用户的毒霸上传至云端分析入库,所以只要是在联网的前提下,毒霸2011SP3 可以查杀防御“超级工厂”病毒!而且通过毒霸2011SP3的系统修复可以将此病毒造成的破坏完美修复!如果您有其他问题,您可以在这PM我的哦,我会尽快回复你的^_^! 希望我的回复对您有所帮助!!!!————wrb_116

海沧区17313631080： 超级工厂病毒的安全建议 - ？
貊叙恬尔： 先去打开腾讯智慧安全页面 然后去申请御点终端安全系统 再去使用腾讯御点,里面的病毒查杀功能杀毒即可

海沧区17313631080： copy of shortcut to是什么病毒怎么查杀 - ？
貊叙恬尔： 这是超级工厂病毒,从你系统的打印漏洞入侵的,解决方法,下载360安全卫士然后修复漏洞,最后来个全盘查杀,OK!

海沧区17313631080： U盘文件多了个SHOTRCUT TO 什么的文件,这是什么病毒?？
貊叙恬尔： 病毒名称: Copy of ShortCut to 中文名称:超级工厂 类型:U盘病毒、蠕虫 推荐查杀工具:AVG

海沧区17313631080： 怎么防范Stuxnet超级工厂病毒?？
貊叙恬尔： 这个病毒据说只攻击siemens的工厂管理软件啊,如果你不是工厂就没必要担心了,只要把工厂的管理系统和外网小心的隔开就可以了,个人上网的时候要用不同的电脑啊,不要连管理系统的网线上.

海沧区17313631080： 谁知道智网病毒?可以详细的解说一下吗？
貊叙恬尔： 目前可以了解到的是,智网病毒属于美军制作、与前段时间所发生的超级工厂病毒属于同一破坏类型的....破坏基础设施,但是对于家庭用户的电脑目前还没有影响....据推测,应该属于美军网络战武器...可以直接破坏掉核设施、目前没有太多相关报道

海沧区17313631080： 卡巴说360欺骗4亿网民 胡乱解读“超级工厂”病毒,我究竟信卡巴还是应该信360呢? - ？
貊叙恬尔： 360连自己的杀毒软件都是买来的,病毒库也是用国外的,自己根本没有核心研发能力,怎么可能会对超级工厂有所作为?再有就是360的那个自吹自擂的宣传...的确是有点电脑安全知识的人都能看出其漏洞....超级工厂是利用0day漏洞,也就是没有公布的漏洞,这种漏洞连微软自己都没有补丁,360哪来的补丁?windows的补丁全世界只有微软能编写,360也好、其他打补丁软件也好都是下载微软的补丁,试问360哪来的那些连微软都没有的补丁?