Worm.Win32.Stuxnet

Usando o driver:

 % System% driversmrxnet.sys 

O rootkit se conecta como um filtro de driver aos seguintes arranjos do sistema de arquivos:

FileSystemntfs



FileSystemfastfat



FileSystemcdfs

e assim obtém o controle do sistema de arquivos do computador infectado. O rootkit oculta arquivos com nomes como este:

 ~ WTR <rnd> .tmp 

onde <rnd> é um número aleatório de quatro dígitos, por exemplo:

 ~ WTR4132.tmp



~ WTR4141.tmp

Também oculta arquivos com a extensão LNK e um tamanho de arquivo igual a 4171 bytes. O arquivo rootkit possui uma assinatura digital Realtek Semiconductor Corp. Ele contém a seguinte string:

b: myrtussrcobjfre_w2k_x86i386guava.pdb 

Usando o driver:

 % System% driversmrxcls.sys 

O programa malicioso injeta código malicioso nos processos do modo de usuário. Para fazer isso, ele carrega uma biblioteca dinâmica DLL nos seguintes processos do sistema:

svchost.exe



services.exe



lsass.exe

Depois disso, suas listas de módulos contêm bibliotecas com nomes como este:

kernel32.dll.aslr. <rnd>



shell32.dll.aslr. <rnd>

onde <rnd> é um número hexadecimal aleatório. O código injetado é encontrado no arquivo:

 % WinDir% infoem7A.PNF 

de forma criptografada.

O código injetado contém a funcionalidade principal do programa malicioso. Isso inclui:

• Propagação via mídia removível.
• Monitoramento para a operação do sistema Siemens Step7. Para fazer isso, o driver do rootkit injeta sua biblioteca intermediária no processo s7tgtopx.exe, substituindo o s7otbxsx.dll original, que emula a operação das seguintes funções da API:

  
  
  
  s7_event
  
  
  
  s7ag_bub_cycl_read_create
  
  
  
  s7ag_bub_read_var
  
  
  
  s7ag_bub_write_var
  
  
  
  s7ag_link_in
  
  
  
  s7ag_read_szl
  
  
  
  s7ag_test
  
  
  
  s7blk_delete
  
  
  
  s7blk_findfirst
  
  
  
  s7blk_findnext
  
  
  
  s7blk_read
  
  
  
  s7blk_write
  
  
  
  s7db_close
  
  
  
  s7db_open
  
  
  
  s7ag_bub_read_var_seg
  
  
  
  s7ag_bub_write_var_seg
  
  
  
  

  coletando várias informações sobre como o sistema funciona.

• Execução de solicitações SQL. O malware obtém uma lista de computadores na rede local e verifica se algum deles está atualmente executando o Microsoft SQL Server, que atende ao sistema de visualização de processos Siemens WinCC. Se o servidor for detectado, o malware tentará se conectar ao banco de dados com o nome de usuário e a senha WinCCConnect / 2WSXcder (CVE-2010-2772), após o que tentará obter informações sobre tabelas, como:

  
  
  
  MCPTPROJECT
  
  
  
  MCPTVARIABLEDESC
  
  
  
  MCPVREADVARPERCON
  
  
  
  

• Coleta informações de arquivos com as seguintes extensões:

  
  
  
  * .S7P
  
  
  
  * .MCP
  
  
  
  * .LDF
  
  
  
  

  Estes são criados através do sistema Siemens Step7. Uma busca por arquivos é realizada em todo o disco rígido do computador.

• Ele envia as informações coletadas via Internet para o servidor do usuário malicioso de forma criptografada.