2010年7月20日在国内开始截获Worm/Stuxnet蠕虫家族变种。Worm/Stuxnet利用多种Windows系统漏洞进行传播，试图攻击西门子SIMATIC WinCC监控与数据采集（SCADA）系统。西门子SIMATIC WinCC SCADA系统用于工业控制领域，一旦运行该系统的服务器感染了Worm/Stuxnet，工业控制指令和数据等信息可能被病毒拦截、窃取或修改。此外，该蠕虫还会从互联网进行更新和接收黑客命令，使感染主机被黑客远程完全控制，成为“僵尸计算机”。
下面是详细技术分析报告。

一、传播途径

1，利用Windows Shell快捷方式漏洞（MS10-046）和U盘传播
U盘传播是Worm/Stuxnet主要传播途径之一。病毒会在移动存储设备的根目录下创建如下病毒文件：
~WTR4132.tmp
~WTR4141.tmp
同时，还会创建下列快捷方式文件，指向~WTR4141.tmp文件：
Copy of Shortcut to.lnk
Copy of Copy of Shortcut to.lnk
Copy of Copy of Copy of Shortcut to.lnk
Copy of Copy of Copy of Copy of Shortcut to.lnk
在没有安装MS10-046补丁的Windows系统中上使用被感染的U盘时，只需在资源管理器中访问U盘根目录，即会自动加载病毒模块~WTR4141.tmp，~WTR4141.tmp进而加载~WTR4132.tmp，造成系统感染。

2，利用MS10-061漏洞和WBEM传播
病毒会利用Windows Spooler漏洞（MS10-061），攻击局域网上开启了“文件和打印机共享”的机器。被成功攻陷的计算机上会生成2个病毒文件：
%SystemDir%\winsta.exe
%SystemDir%\wbem\mof\sysnullevnt.mof
%SystemDir%\wbem\mof\sysnullevnt.mof将会在某时刻自动执行%SystemDir%\winsta.exe（即病毒文件），造成感染。

3，利用共享文件夹传播
病毒扫描局域网机器的默认共享C$和admin$，并尝试在远程计算机上创建病毒文件：
DEFRAG<随机数字>.TMP
文件创建成功后，病毒会再远程创建一个计划任务，来定时启动病毒体。

4，利用MS08-067漏洞传播
病毒向存在MS08-067漏洞的远程计算机发送恶意RPC请求，一旦攻击成功，即可完全控制被攻击计算机，进行感染。

二、隐藏自身

1，用户层隐藏
病毒文件~WTR4141.tmp从U盘被加载后，对下列系统API进行Hook：
FindFirstFileW
FindNextFileW
FindFirstFileExW
NtQueryDirectoryFile
ZwQueryDirectoryFile
企图隐藏病毒在U盘上的病毒文件。用户使用Windows资源管理器或其他使用用户层API查看文件目录的工具，都无法看到病毒文件的存在。

2，驱动层隐藏
病毒释放出文件系统过滤驱动mrxnet.sys，从内核层面对病毒文件进行隐藏。驱动层隐藏在功能目的上，与上述用户层隐藏是一致的。
Worm/Stuxnet会为mrxnet.sys创建一个系统服务，服务名为MRXNET，每次系统启动时自动加载。

三、攻击西门子SIMATIC WinCC SCADA系统
Mrxcls.sys是病毒释放出来的另一个驱动程序，病毒也为它建立了一个名为MRXCLS的服务，负责在Windows启动时自动加载该驱动。
Mrxcls.sys将会向名称为services.exe，S7tgtopx.exe，CCProjectMgr.exe的进程中注入并执行病毒代码。S7tgtopx.exe和CCProjectMgr.exe都是与西门子系统相关的进程。被注入的代码寻找名为“s7otbxsx.dll”的模块，并尝试hook该模块中的下列API函数：
s7_event
s7ag_bub_cycl_read_create
s7ag_bub_read_var
s7ag_bub_write_var
s7ag_link_in
s7ag_read_szl
s7ag_test
s7blk_delete
s7blk_findfirst
s7blk_findnext
s7blk_read
s7blk_write
s7db_close
s7db_open
s7ag_bub_read_var_seg
s7ag_bub_write_var_seg

四、从互联网更新和接收黑客命令
病毒尝试访问下面域名，进行自身更新和接收黑客命令，
www.mypremierfutbol.com
www.todaysfutbol.com

五、防范措施
1，安装Windows安全更新
特别是MS08-067，MS10-046，MS10-061这三个补丁一定要安装。

2，关闭默认共享C$和admin$
可用下面命令行实现：
net share admin$ /del
net share c$ /del

3，屏蔽病毒域名
可手工修改%SystemDir%\drivers\etc\hosts文件，加入下列两行：
127.0.0.1       www.mypremierfutbol.com
127.0.0.1       www.todaysfutbol.com
4，安装一些所谓的说的天花乱坠的杀软。

2010年7月20日在国内开始截获Worm/Stuxnet蠕虫家族变种。Worm/Stuxnet利用多种Windows系统漏洞进行传播，试图攻击西门子SIMATIC WinCC监控与数据采集（SCADA）系统。西门子SIMATIC WinCC SCADA系统用于工业控制领域，一旦运行该系统的服务器感染了Worm/Stuxnet，工业控制指令和数据等信息可能被病毒拦截、窃取或修改。此外，该蠕虫还会从互联网进行更新和接收黑客命令，使感染主机被黑客远程完全控制，成为“僵尸计算机”。
下面是详细技术分析报告。

一、传播途径

1，利用Windows Shell快捷方式漏洞（MS10-046）和U盘传播
U盘传播是Worm/Stuxnet主要传播途径之一。病毒会在移动存储设备的根目录下创建如下病毒文件：
~WTR4132.tmp
~WTR4141.tmp
同时，还会创建下列快捷方式文件，指向~WTR4141.tmp文件：
Copy of Shortcut to.lnk
Copy of Copy of Shortcut to.lnk
Copy of Copy of Copy of Shortcut to.lnk
Copy of Copy of Copy of Copy of Shortcut to.lnk
在没有安装MS10-046补丁的Windows系统中上使用被感染的U盘时，只需在资源管理器中访问U盘根目录，即会自动加载病毒模块~WTR4141.tmp，~WTR4141.tmp进而加载~WTR4132.tmp，造成系统感染。

2，利用MS10-061漏洞和WBEM传播
病毒会利用Windows Spooler漏洞（MS10-061），攻击局域网上开启了“文件和打印机共享”的机器。被成功攻陷的计算机上会生成2个病毒文件：
%SystemDir%\winsta.exe
%SystemDir%\wbem\mof\sysnullevnt.mof
%SystemDir%\wbem\mof\sysnullevnt.mof将会在某时刻自动执行%SystemDir%\winsta.exe（即病毒文件），造成感染。

3，利用共享文件夹传播
病毒扫描局域网机器的默认共享C$和admin$，并尝试在远程计算机上创建病毒文件：
DEFRAG<随机数字>.TMP
文件创建成功后，病毒会再远程创建一个计划任务，来定时启动病毒体。

4，利用MS08-067漏洞传播
病毒向存在MS08-067漏洞的远程计算机发送恶意RPC请求，一旦攻击成功，即可完全控制被攻击计算机，进行感染。

二、隐藏自身

1，用户层隐藏
病毒文件~WTR4141.tmp从U盘被加载后，对下列系统API进行Hook：
FindFirstFileW
FindNextFileW
FindFirstFileExW
NtQueryDirectoryFile
ZwQueryDirectoryFile
企图隐藏病毒在U盘上的病毒文件。用户使用Windows资源管理器或其他使用用户层API查看文件目录的工具，都无法看到病毒文件的存在。

2，驱动层隐藏
病毒释放出文件系统过滤驱动mrxnet.sys，从内核层面对病毒文件进行隐藏。驱动层隐藏在功能目的上，与上述用户层隐藏是一致的。
Worm/Stuxnet会为mrxnet.sys创建一个系统服务，服务名为MRXNET，每次系统启动时自动加载。

三、攻击西门子SIMATIC WinCC SCADA系统
Mrxcls.sys是病毒释放出来的另一个驱动程序，病毒也为它建立了一个名为MRXCLS的服务，负责在Windows启动时自动加载该驱动。
Mrxcls.sys将会向名称为services.exe，S7tgtopx.exe，CCProjectMgr.exe的进程中注入并执行病毒代码。S7tgtopx.exe和CCProjectMgr.exe都是与西门子系统相关的进程。被注入的代码寻找名为“s7otbxsx.dll”的模块，并尝试hook该模块中的下列API函数：
s7_event
s7ag_bub_cycl_read_create
s7ag_bub_read_var
s7ag_bub_write_var
s7ag_link_in
s7ag_read_szl
s7ag_test
s7blk_delete
s7blk_findfirst
s7blk_findnext
s7blk_read
s7blk_write
s7db_close
s7db_open
s7ag_bub_read_var_seg
s7ag_bub_write_var_seg

四、从互联网更新和接收黑客命令
病毒尝试访问下面域名，进行自身更新和接收黑客命令，
www.mypremierfutbol.com
www.todaysfutbol.com

五、防范措施
1，安装Windows安全更新
特别是MS08-067，MS10-046，MS10-061这三个补丁一定要安装。

2，关闭默认共享C$和admin$
可用下面命令行实现：
net share admin$ /del
net share c$ /del

3，屏蔽病毒域名
可手工修改%SystemDir%\drivers\etc\hosts文件，加入下列两行：
127.0.0.1       www.mypremierfutbol.com
127.0.0.1       www.todaysfutbol.com
4，安装一些所谓的说的天花乱坠的杀软。