超级工厂病毒病毒专杀 历史上最负盛名的电脑病毒 还记得"熊猫烧香"吗?( 三 )
之后病毒会运行lsass.exe并修改程序的内存 , 然后释放如下文件:
%System%\drivers\mrxcls.sys
%System%\drivers\mrxnet.sys
%Windir%\inf\oem6C.PNF
%Windir%\inf\oem7A.PNF
%Windir%\inf\mdmcpq3.PNF
%Windir%\inf\mdmeric3.PNF
并在可移动存储上创建~WTR数字.Tmp和Copy of ShortCut to .lnk等文件 。
Mrxcls.sys 和Mrxnet.sys具有合法的数字签名 。
由于调用了lsass.exe这个系统进程做坏事 , 因此在中毒机器内会看到至少3个lsass.exe进程 。(有两个是病毒启动的)
然后病毒会将自身注入到services.exe , 在services中 , 病毒会通过查找SOFTWARE\SIEMENS\STEP7 , SOFTWARE\SIEMENS\WinCC\Setup等注册表项检测西门子软件 。病毒还能禁用Windows Defender等杀毒软件的保护 。
病毒具有后门功能: 病毒会通过80端口连接远程服务器并发送请求http://[SERVER_ADDRESS]/index.php?data=https://www.08ts.cn/[DATA]
其中服务器地址为:
www.****
www.*****
发送的数据包括:
1、Windows版本信息
2、计算机名
3、网络组名称
4、是否安装了工控软件
5、网卡的IP地址
发送完毕数据后 , 病毒会等待服务器响应 , 之后病毒可以根据服务器的要求执行以下功能:
1、读文件
2、写文件
3、删除文件
4、创建进程
5、注入dll
6、加载dll并运行
7、更新配置信息
8、下载文件 , 解密并执行
Rootkit隐藏功能:
病毒具有良好的隐藏性 。病毒会查找totalcmd.exe , wincmd.exe等进程 , 挂钩kernel32.dll的FindFirstFileW,FindNextFileW,FindFirstFileExW , Ntdll的NtQueryDirectoryFile , ZwQueryDirectoryFile函数隐藏其释放的.lnk或者~WTR(数字).tmp文件 。使得通过此类文件查找工具也无法找到他们 。
针对工控软件(SCADA)的攻击功能:
病毒会利用SieMens Simatic Wincc的默认密码安全绕过漏洞利用默认的用户名和密码并利用已经编写好的SQL语句读取数据库数据 。漏洞详情:****
尝试从数据库中读取特定数据:
GracS\cc_tag.sav
GracS\cc_alg.sav
GracS\db_log.sav
GracS\cc_tlg7.sav
*.S7P
*.MCP
*.LDF
工控系统都包括一个可编程控制器 , 该控制器实际相当于一个小型的计算机系统 , 通过配置该系统 , 可以向控制器中写入新的控制逻辑 , 从而完成不同的功能 。该控制器可以通过专门的软件连接到计算机 , 从计算机中可以编写工控程序并下载到工控系统中运行 。
工控软件要进行控制和编程 , 需要通过西门子Step 7软件来进行控制 , 该软件要通过使用内部的s7otbxdx.dll同设备进行通信 , 病毒通过替换此dll来截获所有与设备间的访问 。病毒自身导出了所有原始s7dotbxdx.dll的功能 , 然后病毒将原始的s7otbxdx.dll重命名为s7otbxsx.dll , 然后将自身命名为s7otbxdx.dll,病毒内部再加载s7otbxsx.dll , 这样 , 如果是病毒感兴趣的访问 , 则病毒可以替换设备传入或者传出的结果 , 对于其他访问 , 病毒直接重定向到原始的s7otbxdx.dll 。
当向工控系统中写入控制代码时 , 病毒会修改写入的控制代码 , 从而感染工控系统 。
实际上 , 在内部 , 病毒一共hook了16个函数 , 分别是:
s7_event
s7ag_bub_cycl_read_create
s7ag_bub_read_var
s7ag_bub_write_var
s7ag_link_in
s7ag_read_szl
s7ag_test
s7blk_delete
s7blk_findfirst
s7blk_findnext
s7blk_read
s7blk_write
s7db_close
s7db_open
s7ag_bub_read_var_seg
s7ag_bub_write_var_seg
通过对这些函数的挂钩从而可以任意修改从计算机中写入到工控软件中的代码 。当向工控软件正常写入程序时 , 病毒会感染写入的代码 , 将自身写入工控软件代码块的头部并修改工控软件的控制结构 , 使其入口点指向病毒代码 。
另外病毒会监控所有与工控软件之间的读写通信 , 如果发现访问到被感染的块 , 则会修改返回结果隐藏块中的病毒代码 , 从而使用户不会发现 。
Q3:copy of shortcut to是什么病毒怎么查杀超级工厂病毒 。楼主下载运行360系统急救箱勾选强力查杀即可解决!
Q4:超级工厂(stuxnet病毒) 火焰病毒 暴雷漏洞 各是什么东西?Stuxnet蠕虫病毒(超级工厂病毒)是世界上首个专门针对工业控制系统编写的破坏性病毒 , 能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击 。特别是针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击 , 由于该系统在我国的多个重要行业应用广泛 , 被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控 。传播途径:该病毒主要通过U盘和局域网进行传播 。历史“贡献”:曾造成伊朗核电站推迟发电 。
推荐阅读
![[苹果]为何苹果手机越来越便宜,华为手机却越来越贵?只有这1个原因](http://img88.010lm.com/img.php?https://image.uc.cn/s/wemedia/s/2020/0a23d79d209e8536af003d25fc9735ac.jpg)
- 杨紫琼|杨紫琼:从“打女”、东方美人到超级女英雄的一生
- 产业带工厂是什么意思?代工厂货源是什么意思?
- 如何开通淘宝直播(淘宝超级直播怎么用)
- 殷桃|新一部生活题材的剧来袭,郭京飞殷桃领衔主演,34岁男二超级帅气
- 如何取消qq会员(qq超级会员试用3天体验)
- 如何去新加坡工作(去新加坡工厂打工真实工资)
- 王一博|王一博热血真诚,喜欢什么就去做,超级坚定
- 家庭小工厂项目食品类!小作坊创业项目有哪些
- 塔尔|豆瓣8.9,一口气刷9集太过瘾,不谈尺度也是一部超级爽剧
- 如何下载ppt模板(ppt超级市场免费下载)