ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Worm.Win32.Stuxnet

Data de detecção 07/15/2010
Classe Worm
Plataforma Win32
Descrição

Usando o driver:

 % System% driversmrxnet.sys 

O rootkit se conecta como um filtro de driver aos seguintes arranjos do sistema de arquivos:




FileSystemntfs



FileSystemfastfat



FileSystemcdfs



e assim obtém o controle do sistema de arquivos do computador infectado. O rootkit oculta arquivos com nomes como este:

 ~ WTR <rnd> .tmp 

onde <rnd> é um número aleatório de quatro dígitos, por exemplo:

 ~ WTR4132.tmp



~ WTR4141.tmp



Também oculta arquivos com a extensão LNK e um tamanho de arquivo igual a 4171 bytes. O arquivo rootkit possui uma assinatura digital Realtek Semiconductor Corp. Ele contém a seguinte string:




b: myrtussrcobjfre_w2k_x86i386guava.pdb 

Usando o driver:

 % System% driversmrxcls.sys 

O programa malicioso injeta código malicioso nos processos do modo de usuário. Para fazer isso, ele carrega uma biblioteca dinâmica DLL nos seguintes processos do sistema:




svchost.exe



services.exe



lsass.exe



Depois disso, suas listas de módulos contêm bibliotecas com nomes como este:




kernel32.dll.aslr. <rnd>



shell32.dll.aslr. <rnd>



onde <rnd> é um número hexadecimal aleatório. O código injetado é encontrado no arquivo:

 % WinDir% infoem7A.PNF 

de forma criptografada.

O código injetado contém a funcionalidade principal do programa malicioso. Isso inclui:

  • Propagação via mídia removível.
  • Monitoramento para a operação do sistema Siemens Step7. Para fazer isso, o driver do rootkit injeta sua biblioteca intermediária no processo s7tgtopx.exe, substituindo o s7otbxsx.dll original, que emula a operação das seguintes funções da API:
    
    
    
    s7_event
    
    
    
    s7ag_bub_cycl_read_create
    
    
    
    s7ag_bub_read_var
    
    
    
    s7ag_bub_write_var
    
    
    
    s7ag_link_in
    
    
    
    s7ag_read_szl
    
    
    
    s7ag_test
    
    
    
    s7blk_delete
    
    
    
    s7blk_findfirst
    
    
    
    s7blk_findnext
    
    
    
    s7blk_read
    
    
    
    s7blk_write
    
    
    
    s7db_close
    
    
    
    s7db_open
    
    
    
    s7ag_bub_read_var_seg
    
    
    
    s7ag_bub_write_var_seg
    
    
    
    

    coletando várias informações sobre como o sistema funciona.

  • Execução de solicitações SQL. O malware obtém uma lista de computadores na rede local e verifica se algum deles está atualmente executando o Microsoft SQL Server, que atende ao sistema de visualização de processos Siemens WinCC. Se o servidor for detectado, o malware tentará se conectar ao banco de dados com o nome de usuário e a senha WinCCConnect / 2WSXcder (CVE-2010-2772), após o que tentará obter informações sobre tabelas, como:
    
    
    
    MCPTPROJECT
    
    
    
    MCPTVARIABLEDESC
    
    
    
    MCPVREADVARPERCON
    
    
    
    
  • Coleta informações de arquivos com as seguintes extensões:
    
    
    
    * .S7P
    
    
    
    * .MCP
    
    
    
    * .LDF
    
    
    
    

    Estes são criados através do sistema Siemens Step7. Uma busca por arquivos é realizada em todo o disco rígido do computador.

  • Ele envia as informações coletadas via Internet para o servidor do usuário malicioso de forma criptografada.

Link para o original