Trojan/Win32.Stuxnet.e[Dropper]分析
一、 病毒标签:病毒名称: Trojan/Win32.Stuxnet.e
病毒类型: 盗号木马
文件 MD5: 1B084F7228051B3FE95ABA72D7E39C6D
公开范围: 完全公开
危害等级: 4
文件长度: 517,632 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
二、 病毒描述:
该恶意代码文件为一款工业间谍木马,该恶意代码利用多个系统安全漏洞传播自身MS08067、可移动磁盘、打印机共享等漏洞进行传播,获取西门子WinCC操作系统的访问权,并读取数据库相关信息,试图通过SA权限连接WINCC数据库从而窃取信息,主要窃取储存在Simatic WinCC SCADA系统中的数据,病毒试图搜索可移动磁盘,发现后创建LNK文件到可移动磁盘内并利用U盘传播自身,病毒运行后获取版本信息,创建内存映射、动态调用大量API函数,衍生多个病毒文件到系统目录下,衍生的病毒驱动文件采用了伪造数字签名和版本信息的技术手段,使其很难辨认为病毒文件。病毒试图搜索可移动磁盘,发现后创建LNK文件到可移动磁盘内并利用U盘传播自身,病毒将窃取的敏感数据信息以URL方式发送到病毒作者的地址中。
三、 行为分析:
本地行为:
1、病毒衍生以下病毒文件到系统目录
c:\WINDOWS\system32\drivers\mrxcls.sys
c:\WINDOWS\system32\drivers\mrxnet.sys
c:\WINDOWS\inf\oem7A.PNF
c:\WINDOWS\inf\mdmeric3.PNF
c:\WINDOWS\inf\mdmcpq3.PNF
c:\WINDOWS\inf\oem6C.PNF
2、利用了ZwCreateSection创建节通过内存映射把代码映射到创建的节表中,然后通过LoadliraryW获取基址,去除NTDLL.DLL模块中4096字节PE文件头的保护,并修改偏移40处的代码为HOOK了NTDLL.DLL模块的6个函数调用,分别为:
ZwMapViewOfSection 1、ZwCreateSection 2、ZwOpenFile 3、ZwClose 4、ZwQueryAttributesFile 5、ZwQuerySection
试图访问西门子Windows SIMATIC WinCC SCADA系统数据库,开启lsass.exe进程,试图将病毒代码注入到该进程中,病毒试图搜索可移动磁盘,发现后创建LNK文件到可移动磁盘内并利用U盘传播自身,该恶意代码还利用多个系统安全漏洞传播自身MS08067、打印机共享等漏洞传播。
3、添加注册表病毒服务项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls\Description
值: 字符串: "MRXCLS"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls\DisplayName
值: 字符串: "MRXCLS"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls\ImagePath
值: 字符串: "\??\C:\WINDOWS\system32\Drivers\mrxcls.sys"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls\Start
值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls\Type
值: DWORD: 1 (0x1)
四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL管理工具,“进程管理“结束病毒进程
(2)强行删除病毒文件
c:\WINDOWS\system32\drivers\mrxcls.sys
c:\WINDOWS\system32\drivers\mrxnet.sys
c:\WINDOWS\inf\oem7A.PNF
c:\WINDOWS\inf\mdmeric3.PNF
c:\WINDOWS\inf\mdmcpq3.PNF
c:\WINDOWS\inf\oem6C.PNF
(3)删除添加的注册表项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls
删除ControlSet001键下的MRxCls键
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls
删除CurrentControlSet键下的MRxCls键
页:
[1]