解密Stuxnet如何利用AutoRun感染电脑
解密Stuxnet如何利用AutoRun感染电脑2011-05-09
根据赛门铁克公司研究人员Liam O Murchu表示,早期版本的Stuxnet主要针对工业控制系统,而不需要借助任何漏洞。该恶意软件滥用了windows系统的自动运行功能来通过受感染的USB设备来攻击计算机。
“该病毒的惯用伎俩是在可移动驱动器的根目录创建一个autorun.inf文件,主要出于两个目的,”赛门铁克安全响应运营经理Murchu表示,“特制的文件可以被解释为可执行文件或者正确格式的autorun.inf文件。”
“当Windows解析autorun.inf文件时,解析是相当宽泛的,”他继续说,“具体来说,所有不被认为是合法AutoRun命令的部分都被作为垃圾跳过,然后继续解析,Stuxnet利用这个方法,首先将MZ文件放到autorun.inf文件中。当windows解析autorun.inf文件时,所有的MZ内容都会作为垃圾被忽略,直到被追加到文件的末尾合法AutoRun命令出现。”
自动运行命令认定autorun.inf文件本身可以执行,从而也就执行了蠕虫的代码。如果这样不成功的话,就会向内容菜单添加一个“打开”命令。如果用户选择打开包含恶意打开命令的驱动,蠕虫病毒将会执行。
自该蠕虫病毒首次曝光以来,关于Stunxnet的新闻就接踵而至。三月份时,利用.Ink漏洞的代码首次与该病毒联系起来。但是除了这个漏洞外,Stuxnet还被发现利用了另外三个windows漏洞,包括尚未进行修补的两个权限升级漏洞,其他漏洞则存在于windows打印程序服务(并于九月份之前被修复)。
除了最初的报告,四个windows漏洞中只有三个漏洞是零日漏洞,事实证明,打印后台处理程序的问题早在2009年Vupen Security公司就在Hakin9杂志中讨论过。微软表示,他们当时并没有被告知这个漏洞。
这次攻击的复杂性让一些人联想到政治问题,特别是因为该蠕虫病毒被设计为攻击工业控制系统,但不管它最初的目的是什么,Stuxnet已经在全世界范围内扩散,安全研究人员们都在研究对策。
NitroSecurity公司的关键基础设施市场总监Eric Knapp表示,目前并没有确凿的证据来证明这次攻击是否涉及政治问题,但是他表示,毫无疑问这个蠕虫病毒非常复杂。
“Stuxnet被公认为是长时间以来最复杂的恶意软件之一,”Knapp表示,“它建立在对目标系统的深入了解之上;使用被盗证书;利用多个零日漏洞进行传播;它有能力进行自我更新;并且它能够向PLC(可编程逻辑控制器)注入恶意代码,从整体来看,Stuxnet是极其复杂和精心策划的,这么说毫不夸张。”
评论排行