Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Worm.Win32.Stuxnet

Detekováno 07/15/2010
Třída Worm
Platfoma Win32
Popis

Použití ovladače:

 % System% driversmrxnet.sys 

Rootkit se připojí jako filtr ovladače k ​​následujícím uspořádáním souborového systému:




FileSystemntfs



FileSystemfastfat



FileSystemcdfs



a tím získá kontrolu nad souborovým systémem infikovaného počítače. Rootkit skrývá soubory s názvy, jako je tato:

 ~ WTR <rnd> .tmp 

kde <rnd> je náhodné čtyřmístné číslo, např .:

 ~ WTR4132.tmp



~ WTR4141.tmp



Skrývá také soubory s příponou LNK a velikost souboru rovnající se 4171 bajtů. Soubor rootkit má digitální podpis společnosti Realtek Semiconductor Corp. Obsahuje následující řetězec:




b: myrtussrcobjfre_w2k_x86i386guava.pdb 

Použití ovladače:

 % System% driversmrxcls.sys 

Škodlivý program zavádí škodlivý kód do procesů uživatelského režimu. Chcete-li to provést, načte dynamickou knihovnu DLL do následujících systémových procesů:




svchost.exe



services.exe



lsass.exe



po kterých seznamy modulů obsahují knihovny se jmény, jako je tato:




kernel32.dll.aslr. <rnd>



shell32.dll.aslr. <rnd>



kde <rnd> je náhodné hexadecimální číslo. Vložený kód se nachází v souboru:

 % WinDir% infoem7A.PNF 

v šifrované podobě.

Vložený kód obsahuje hlavní funkci škodlivého programu. To zahrnuje:

  • Propagace prostřednictvím vyměnitelných médií.
  • Monitorování provozu systému Siemens Step7. Chcete-li to provést, ovladač rootkit zavede svou knihovnu pro zprostředkovatele do procesu s7tgtopx.exe a nahradí původní s7otbxsx.dll, který napodobuje činnost následujících funkcí rozhraní API:
    
    
    
    s7_event
    
    
    
    s7ag_bub_cycl_read_create
    
    
    
    s7ag_bub_read_var
    
    
    
    s7ag_bub_write_var
    
    
    
    s7ag_link_in
    
    
    
    s7ag_read_szl
    
    
    
    s7ag_test
    
    
    
    s7blk_delete
    
    
    
    s7blk_findfirst
    
    
    
    s7blk_findnext
    
    
    
    s7blk_read
    
    
    
    s7blk_write
    
    
    
    s7db_close
    
    
    
    s7db_open
    
    
    
    s7ag_bub_read_var_seg
    
    
    
    s7ag_bub_write_var_seg
    
    
    
    

    shromažďování různých informací o tom, jak funguje systém.

  • Provedení požadavků SQL. Malware získá seznam počítačů v místní síti a zkontroluje, zda je některý z nich aktuálně spuštěn Microsoft SQL Server, který slouží k vizualizaci systému Siemens WinCC. Pokud je server detekován, malware se pokusí připojit k databázi pomocí uživatelského jména a hesla WinCCConnect / 2WSXcder (CVE-2010-2772), po kterém se pokusí získat informace o tabulkách, například:
    
    
    
    MCPTPROJECT
    
    
    
    MCPTVARIABLEDESC
    
    
    
    MCPVREADVARPERCON
    
    
    
    
  • Shromažďuje informace ze souborů s následujícími rozšířeními:
    
    
    
    * .S7P
    
    
    
    * .MCP
    
    
    
    * .LDF
    
    
    
    

    Ty jsou vytvářeny systémem Siemens Step7. Vyhledávání souborů se provádí na celém pevném disku počítače.

  • Odesílá shromážděné informace přes Internet na server škodlivého uživatele v zašifrované podobě.

Odkaz na originál