尊敬的凌億信息公司用戶：你好。

Stuxnet病毒已在國外大肆傳播，目前在國內(nèi)還比較少，但是危害性及傳播性極強(qiáng)，極有可能成為2010年最具影響力的病毒之一，望各用戶IT管理員盡量更新微軟公司于2010年9月14日發(fā)布的漏洞補(bǔ)丁修復(fù)程序。

Microsoft 安全公告 MS10-061 – 嚴(yán)重

打印后臺(tái)程序服務(wù)中的漏洞可能允許遠(yuǎn)程執(zhí)行代碼 (2347290)

http://www.microsoft.com/china/technet/security/bulletin/MS10-061.mspx

Worm.Win32.Stuxnet病毒分析

病毒名稱：

Worm.Win32.Stuxnet

病毒概述：

這是一個(gè)可以通過微軟MS10-046漏洞（lnk文件漏洞），MS10-061（打印服務(wù)漏洞），MS08-067等多種漏洞傳播的惡性蠕蟲病毒。另外該病毒還可以專門針對(duì)西門子的SCADA軟件進(jìn)行特定攻擊，以獲取其需要的信息。

技術(shù)細(xì)節(jié)：

傳播方式：

1. 通過MS10-046漏洞傳播

病毒運(yùn)行后會(huì)拷貝自身到移動(dòng)存儲(chǔ)上并命名為~WTR數(shù)字.Tmp（動(dòng)態(tài)庫）和一個(gè)注入下列文件名的lnk文件組成：

Copy of ShortCut to .lnk

Copy of Copy of ShortCut to .lnk

Copy of Copy of Copy of ShortCut to .lnk…

 在存在MS10-046漏洞的機(jī)器上，只需瀏覽這些lnk，Explorer.exe就會(huì)將~WTR數(shù)字.Tmp加載起來。

2. 通過MS10-061漏洞傳播

該病毒還會(huì)利用打印機(jī)或打印機(jī)共享漏洞MS10-061漏洞傳播。病毒會(huì)將自身拷貝到存在該漏洞的遠(yuǎn)程機(jī)器的%system%目錄下，并利用WMI將其執(zhí)行起來。

3. 通過共享文件夾傳播

該病毒還會(huì)試圖將自身拷貝到局域網(wǎng)共享文件夾下，并命名為類似DEFRAG（隨機(jī)數(shù)字）.tmp的名稱。

4. 通過MS08-067漏洞傳播

該病毒還會(huì)利用MS08-067漏洞傳播。

　　　　　　　　致
禮！
  廣州市凌億信息科技有限公司Guangzhou LingYiinformation Technology Co.,Ltd.