2024年6月10日发(作者:)

Stuxnet的感染流程 2011年11月

【百科名片】Stuxnet蠕虫病毒(超级工厂病毒)是世界上首个专门针对工业控制系统编写的破坏性

病毒,能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。特别是针对西门

子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击,由于该系统在我国的多个重要行业

应用广泛,被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控。 传播途径:该病毒主要通

过U盘和局域网进行传播。历史“贡献”:曾造成伊朗核电站推迟发电。 2010-09-25,进入中国。

【技术分析报告】

Worm/Stuxnet利用多种Windows系统漏洞进行传播,试图攻击西门子SIMATIC WinCC监控与数

据采集(SCADA)系统。西门子SIMATIC WinCC SCADA系统用于工业控制领域,一旦运行该系统的服

务器感染了Worm/Stuxnet,工业控制指令和数据等信息可能被病毒拦截、窃取或修改。此外,该蠕虫还

会从互联网进行更新和接收黑客命令,使感染主机被黑客远程完全控制,成为“僵尸计算机”。下面是详细

技术分析报告。

一、传播途径

1.利用Windows Shell快捷方式漏洞(MS10-046)和U盘传播

U盘传播是Worm/Stuxnet主要传播途径之一。病毒会在移动存储设备的根目录下创建如下病毒文件:

~

~

同时,还会创建下列快捷方式文件,指向~文件:

Copy of Shortcut

Stuxnet的感染流程 2011年11月

Copy of Copy of Shortcut

Copy of Copy of Copy of Shortcut

Copy of Copy of Copy of Copy of Shortcut

在没有安装MS10-046补丁的Windows系统中上使用被感染的U盘时,只需在资源管理器中访问U

盘根目录,即会自动加载病毒模块~,~进而加载~,造成

系统感染。

2.利用MS10-061漏洞和WBEM传播

病毒会利用Windows Spooler漏洞(MS10-061),攻击局域网上开启了“文件和打印机共享”的机

器。被成功攻陷的计算机上会生成2个病毒文件:

%SystemDir%

%SystemDir%

%SystemDir%将会在某时刻自动执行%SystemDir%(即

病毒文件),造成感染。

3.利用共享文件夹传播

病毒扫描局域网机器的默认共享C$和admin$,并尝试在远程计算机上创建病毒文件:

DEFRAG<随机数字>.TMP

文件创建成功后,病毒会再远程创建一个计划任务,来定时启动病毒体。