كرم اينترنتي استاكس نت براي انتشار خود توسط درايوهاي قابل جابه جايي، از ترفندي اتوران كه ايجاد يك فايل autorun.inf در ريشه درايوهاي قابل جابه جايي است، بهره مي برد.
براي اجراي فايل هاي دستكاري شده و مخرب در سيستم هدف مي توان آن ها را به صورت فايل اجرايي يا يك فايل autorun.inf در رايانه قرار داد. هنگامي كه ويندوز فايل autorun.inf را تجزيه مي كند، هر كاراكتري را كه نتواند درك كند، به عنوان بخشي از دستورات اتوران، محسوب نكرده و همچون كدهاي زايد در نظر مي گيرد و با توقف عمليات بر روي آن ها، همچنان به تجزيه فايل ادامه مي دهد.
استاكس نت با قرار دادن فايل MZ نخست در فايل autorun.inf از اين واقعيت به نفع خود سوء استفاده مي كند. هنگامي كه ويندوز، فايل autorun.inf را تجزيه مي كند، همه مقادير MZ را به عنوان كدهاي زايد، ناديده گرفته و تنها دستورات اتوران را كه در انتهاي فايل است، اجرا مي نمايد. سرصفحه و پاورقي فايل autorun.inf را مي توان در شكل هاي زير مشاهده كرد:
سرصفحه فايل autorun.inf :
پاورقي فايل autorun.inf :
با استخراج كدهاي پاورقي، مشاهده مي شود كه اين فايل از دستورات عادي اتوران تشكيل شده است:
توجه كنيد كه در دستورات، مشخص شده كه autorun.inf به عنوان فايل اتوران اجرا شود (كادر قرمز در تصوير بالا). با استفاده از اين ترفند، autorun.inf ابتدا همانند يك فايل اتوران معمولي و سپس همچون فايل اجرايي، كد كرم را اجرا خواهد كرد.
علاوه بر اين شگرد فريبنده، استاكس نت از ترفند ديگري نيز براي افزايش احتمال اجرا شدن خود استفاده مي كند. در دستورات اتوران نشان داده شده در شكل بالا، ويژگي AutoPlay نخستين بار خاموش است و يك دستور جديد نيز به منوي راست كليك اضافه مي شود. اين دستور، در مسير %Windir%\system32\shell32.dll,-8496 ايجاد شده و همانطور كه در تصوير زير ديده مي شود، كاربر در هنگام مشاهده منوي زمينه براي درايو قابل جابه جايي، در واقع دو دستور " بازكردن " را مشاهده خواهد كرد:
يكي از اين دستورات بازكردن، توسط استاكس نت به اين منو اضافه شده است. اگر كاربر با استفاده از گزينه اضافه شده به وسيله كرم اقدام به بازكردن درايو كند، كد كرم طبق دستور فايل autorun.inf اجرا شده و سپس يك پنجره اكسپلورر را باز كرده و محتويات درايو را نمايش مي دهد. موفقيت اين ترفند، به تنظيمات AutoPlay و AutoRun در رايانه هدف بستگي داشته كه در صورت غيرفعال كردن اين گزينه ها، گسترش كرم هم توسط درايوهاي قابل جابه جايي متوقف خواهد شد.
لازم به ذكر است كه در اواخر فروردين ماه 1389 نسخه جديدي از كرم استاكس نت منتشر شده است كه براي انتشار خود از يك كد مخرب يعني آسيب پذيري فايل .lnk (BID 43073 ) به جاي ترفندهاي فوق، استفاده مي كند.
انتشار استاکس نت قبل از آسیب پذیری فایل lnk
