解密Stuxnet如何利用AutoRun感染电脑

　　根据赛门铁克公司研究人员Liam O Murchu表示，早期版本的Stuxnet主要针对工业控制系统，而不需要借助任何漏洞。该恶意软件滥用了windows系统的自动运行功能来通过受感染的USB设备来攻击计算机。

　　“该病毒的惯用伎俩是在可移动驱动器的根目录创建一个autorun.inf文件，主要出于两个目的，”赛门铁克安全响应运营经理Murchu表示，“特制的文件可以被解释为可执行文件或者正确格式的autorun.inf文件。”

　　“当Windows解析autorun.inf文件时，解析是相当宽泛的，”他继续说，“具体来说，所有不被认为是合法AutoRun命令的部分都被作为垃圾跳过，然后继续解析，Stuxnet利用这个方法，首先将MZ文件放到autorun.inf文件中。当windows解析autorun.inf文件时，所有的MZ内容都会作为垃圾被忽略，直到被追加到文件的末尾合法AutoRun命令出现。”

　　自动运行命令认定autorun.inf文件本身可以执行，从而也就执行了蠕虫的代码。如果这样不成功的话，就会向内容菜单添加一个“打开”命令。如果用户选择打开包含恶意打开命令的驱动，蠕虫病毒将会执行。

　　自该蠕虫病毒首次曝光以来，关于Stunxnet的新闻就接踵而至。三月份时，利用.Ink漏洞的代码首次与该病毒联系起来。但是除了这个漏洞外，Stuxnet还被发现利用了另外三个windows漏洞，包括尚未进行修补的两个权限升级漏洞，其他漏洞则存在于windows打印程序服务(并于九月份之前被修复)。

　　除了最初的报告，四个windows漏洞中只有三个漏洞是零日漏洞，事实证明，打印后台处理程序的问题早在2009年Vupen Security公司就在Hakin9杂志中讨论过。微软表示，他们当时并没有被告知这个漏洞。

　　这次攻击的复杂性让一些人联想到政治问题，特别是因为该蠕虫病毒被设计为攻击工业控制系统，但不管它最初的目的是什么，Stuxnet已经在全世界范围内扩散，安全研究人员们都在研究对策。

　　NitroSecurity公司的关键基础设施市场总监Eric Knapp表示，目前并没有确凿的证据来证明这次攻击是否涉及政治问题，但是他表示，毫无疑问这个蠕虫病毒非常复杂。

　　“Stuxnet被公认为是长时间以来最复杂的恶意软件之一，”Knapp表示，“它建立在对目标系统的深入了解之上;使用被盗证书;利用多个零日漏洞进行传播;它有能力进行自我更新;并且它能够向PLC(可编程逻辑控制器)注入恶意代码，从整体来看，Stuxnet是极其复杂和精心策划的，这么说毫不夸张。”