西门子控制系统病毒? 功能非常强大的病毒,此病毒的作者对西门子的simatic 和wincc都非常熟悉,据报道病毒竟然能对可以连接下位机as的工程师站进行下位组态修改,以往的病毒只对windows系统进行攻击,就算中毒也不会对整个控制系统造成太大的影响,只不过会造成上位监视系统瘫痪,而此次的病毒可以修改控制器中的程序,这个是这个病毒最可怕的地方.杜绝方法,不要使用工程师站和操作站和能上网的机器进行连接,不要使用u盘. 以下是病毒分析: 病毒名称: worm.win32.stuxnet 病毒概述: 这是一个可以通过微软ms10-046漏洞(lnk文件漏洞),ms10-061(打印服务漏洞),ms08-067等多种漏洞传播的恶性蠕虫病毒。另外该病毒还可以专门针对西门子的scada软件进行特定攻击,以获取其需要的信息。 技术细节: 传播方式: 1. 通过ms10-046漏洞传播 病毒运行后会拷贝自身到移动存储上并命名为~wtr数字.tmp(动态库)和一个注入下列文件名的lnk文件组成: copy of shortcut to .lnk copy of copy of shortcut to .lnk copy of copy of copy of shortcut to .lnk… 在存在ms10-046漏洞的机器上,只需浏览这些lnk,explorer.exe就会将~wtr数字.tmp加载起来。 2. 通过ms10-061漏洞传播 该病毒还会利用打印机或打印机共享漏洞ms10-061漏洞传播。病毒会将自身拷贝到存在该漏洞的远程机器的%system%目录下,并利用wmi将其执行起来。 3. 通过共享文件夹传播 该病毒还会试图将自身拷贝到局域网共享文件夹下,并命名为类似defrag(随机数字).tmp的名称。 4. 通过ms08-067漏洞传播 该病毒还会利用ms08-067漏洞传播。 病毒的主要功能以及大致流程: 当用户浏览可移动存储上的copy of shortcut to .lnk文件后,explorer.exe会加载~wtr数字.tmp,然后病毒会加载自身的另一个名为~wtr数字.tmp的动态库。在加载该恶意dll时,病毒并没有通过普通的loadlibrary函数加载,为了隐藏自身模块,同时为了达到不释放文件来加载病毒模块的目的,它采取了一个特殊方式。病毒会首先hook ntdll的一些导出函数,然后,它会构造一个特殊的并不存在的文件名如kernel32.dll.aslr,然后以此为参数调用loadlibrary,正常情况下,该调用会失败因为该文件并不存在,但是因为病毒已经提前hook了ntdll,hook函数会监控对此类特殊文件名的打开操作。如果发现是自身构造的虚假文件名,则会重定向到其他位置,比如另一个文件或者通常情况下是一块已经被病毒解密过的内存,这样,外界看到的是一个常见的模块名比如kernel32,而实际上是病毒模块。这样病毒就达到了隐藏自身的目的。查看更多
第1天
关注盖德视界
添加小助手
