Stuxnet攻防.docVIP

摘 要 Stuxnet又名“震网”，是针对微软件系统以及西门子工业系统的最新病毒，目前已感染多个国家及地区的工业系统和个人用户，此病毒可通过网络传播，与以往病毒不同，其代码非常精密 　　曾造成伊朗核电站推迟发电的全球首个“超级工厂病毒”Stuxnet目前已经侵入我国。瑞星昨日发布的预警显示，国内已有近500万网民及多个行业的领军企业遭Stuxnet蠕虫病毒攻击，而且由于安全制度上的缺失，该病毒还存在很高的大规模传播风险。据瑞星安全专家介绍，Stuxnet蠕虫病毒是世界上首个专门针对工业控制系统编写的破坏性病毒，能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。 关键字：震网；超级工厂；Stuxnet蠕虫病毒 目 录 一．病毒简介 二．病毒的传染 （一）传染方式： （二）传染流程 三. 病毒原理 四．病毒防御 五．解决方案 （一）杀毒软件清除病毒 （二）手工清除病毒 六．安全建议 七．结束语 一、病毒简介 病毒名称： Worm.Win32.Stuxnet 病毒概述： Stuxnet蠕虫病毒（超级工厂病毒）是世界上首个专门针对工业控制系统编写的破坏性病毒，能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。特别是针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击，由于该系统在我国的多个重要行业应用广泛，被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控。 传播途径：该病毒主要通过U盘和局域网进行传播。历史“贡献”：曾造成伊朗核电站推迟发电。 2010-09-25，进入中国。Stuxnet及其变种是一种利用最新的Windows Shell漏洞传播恶意文件的蠕虫。造成这个漏洞的原因是Windows 错误地分析快捷方式，当用户单击特制快捷方式的显示图标时可能执行恶意代码（文件带有.LNK扩展名）。 二、病毒的传染 （一）传染方式： 这是一个可以通过微软MS10-046漏洞（lnk文件漏洞），MS10-061（打印服务漏洞），MS08-067等多种漏洞传播的恶性蠕虫病毒。另外该病毒还可以专门针对西门子的SCADA软件进行特定攻击，以获取其需要的信息。Stuxnet一方面可以利用微软Windows操作系统“零日漏洞”对用户的电脑系统进行攻击，另一方面该蠕虫还能够利用Windows系统处理LNK（快捷方式）和PIF文件时的其他四种漏洞，如MS08-067漏洞；此外，Stuxnet蠕虫还可以利用Windows系统的Windows Print Spooler服务漏洞进行传播，该漏洞允许发送恶意代码到远程计算机并执行，利用该漏洞的这种特性，Stuxnet蠕虫可以利用打印机或打印机共享进行传播，一旦感染网络中的一台计算机，Stuxnet就会试图传播到其他计算机上。Stuxnet打破恶意程序只攻击用户电脑的“惯例”，将攻击目标偏向于用户的生活与生存环境上来。一旦用户的电脑不幸遭受“超级工厂病毒”-Stuxnet入侵，不但会使用户电脑变成任由其摆布的“肉鸡”，严重影响到用户的日常生活，而且还会引发“多米诺骨牌效应”，导致与受害用户联网的人群遭受同样攻击。 1. 通过MS10-046漏洞传播 病毒运行后会拷贝自身到移动存储上并命名为~WTR数字.Tmp（动态库）和一个注入下列文件名的lnk文件组成： 病毒会在移动存储设备的根目录下创建如下病毒文件： ~WTR4132.tmp ~WTR4141.tmp 同时，还会创建下列快捷方式文件，指向~WTR4141.tmp文件： Copy of Shortcut to.lnk Copy of Copy of Shortcut to.lnk Copy of Copy of Copy of Shortcut to.lnk Copy of Copy of Copy of Copy of Shortcut to.lnk 在没有安装MS10-046补丁的Windows系统中上使用被感染的U盘时，只需访问U盘根目录，就会造成系统感染。存在MS10-046漏洞的机器上，只需浏览这些lnk，Explorer.exe就会将~WTR数字.Tmp加载起来。 2. 通过MS10-061漏洞传播 该病毒还会利用打印机或打印机共享漏洞MS10-061漏洞传播。病毒会将自身拷贝到存在该漏洞的远程机器的%system%目录下，并利用WMI将其执行起来。 3. 通过共享文件夹传播 该病毒还会试图将自身拷贝到局域网共享文件夹下，并命名为类似DEFRAG（随机数字）.tmp的名称。 4. 通过MS08-067漏洞传播 该病毒还会利用MS08-067漏洞传播。 病毒的主要功能以及大致流程：当用户浏览可移动存储上的Copy of Shor