Stuxnet před .Ink souboru zabezpečení
Kód využívá zero-day zranitelnosti lnk soubor (BID 43073) používá Stuxnet byl přidán do ohrožení v březnu 2010.
Starší verze nepoužívali chybu, ale místo toho AutoRun trikem šířit. Červ trikem vytvořil soubor autorun.inf v kořenovém adresáři vyměnitelných jednotek, které sloužily dva různé účely. speciálně vytvořený soubor by mohl být vykládán buď jako spustitelný soubor nebo správně formátovaný soubor autorun.inf. Když systém Windows analyzuje soubory autorun.inf parsování je poměrně tolerantní. Konkrétně, žádné znaky, které nejsou chápány jako součást legitimní příkazů AutoRun jsou přeskočeny jako smetí a parsování pokračuje. Stuxnet používá tuto skutečnost ve svůj prospěch tím, že se soubor MZ nejprve v rámci souboru autorun.inf. Když systém Windows analyzuje soubor autorun.inf veškerý obsah, MZ, budou ignorovány jako smetí, dokud legitimní AutoRun příkazy, které jsou připojeny na konec souboru se vyskytují. záhlaví a zápatí souboru autorun.inf lze vidět v následujících schématech:
Hlavička souboru autorun.inf:
Zápatí souboru autorun.inf
Tím, že získá pouze řetězce z zápatí můžeme vidět, že oni jsou složeni z legitimních příkazů AutoRun:
Všimněte si, že AutoRun příkazy zadat soubor autorun.inf sebe jako soubor má být vykonán (zvýrazněny červeně na obrázku výše). Pomocí tohoto triku soubor autorun.inf budou nejprve považuje za legitimní soubor autorun.inf a pak jako legitimní spustitelný soubor (a tak červ kód je vykonán).
Kromě této mazaný trik, Stuxnet používá jiný trik, aby se zvýšila pravděpodobnost, že bude popraven. AutoRun příkazy je uvedeno výše nejprve vypnout automatické přehrávání, a pak přidat nový příkaz ke kontextu (tj. vpravo-click) menu. Příkaz, který se přidává se nachází ve složce% Windir% \ system32 \ shell32.dll, -8496, který skutečně funguje, se, že je "Open" řetězec. To znamená, že při pohledu na kontextové menu pro přenosné zařízení uživatel skutečně uvidí dva "Open" příkazy, jak je vidět na následujícím obrázku:
Jeden z těchto příkazů je legitimní a ostatní bylo přidáno Stuxnet. Pokud se uživatel rozhodne otevřít disk přes škodlivý "Open" příkaz pak červ bude provádět podle příkazu v souboru autorun.inf. Kód Stuxnet pak se otevře okno Průzkumníka a zobrazí obsah disku na uživatele, takže to vypadá, že nic neobvyklého nestalo. Je třeba poznamenat, že úspěch nebo jinak z výše uvedených triků záleží na Přehrát automaticky a AutoRun nastavení v počítači a že odpojení těchto funkcí může pomoci zmírnit proti červům, které je používají k šíření.
zdroj: symatec.com
