Worm.Win32.Stuxnet

Verwenden des Treibers:

 % System% Treibermrxnet.sys 

Das Rootkit verbindet sich als Treiberfilter mit den folgenden Dateisystemanordnungen:

DateiSystemntfs



DateiSystemfastfat



DateiSystemcdfs

und erhält dadurch die Kontrolle über das Dateisystem des infizierten Computers. Das Rootkit versteckt Dateien mit folgenden Namen:

 ~ WTR <rnd> .tmp 

wobei <rnd> eine zufällige vierstellige Zahl ist, zB:

 ~ WTR4132.tmp



~ WTR4141.tmp

Es verbirgt auch Dateien mit der Erweiterung LNK und einer Dateigröße von 4171 Bytes. Die Rootkit-Datei verfügt über eine digitale Signatur von Realtek Semiconductor Corp. Es enthält die folgende Zeichenfolge:

b: myrtussrcobjfre_w2k_x86i386guava.pdb 

Verwenden des Treibers:

 % System% Treibermrxkls.sys 

Das bösartige Programm injiziert bösartigen Code in die Prozesse des Benutzermodus. Dazu lädt es eine dynamische DLL-Bibliothek in die folgenden Systemprozesse:

svchost.exe



services.exe



lsass.exe

Danach enthalten ihre Modullisten Bibliotheken mit folgenden Namen:

kernel32.dll.aslr. <rnd>



shell32.dll.aslr. <rnd>

wobei <rnd> eine zufällige hexadezimale Zahl ist. Der eingegebene Code befindet sich in der Datei:

 % WinDir% infoem7A.PNF 

in verschlüsselter Form.

Der injizierte Code enthält die Hauptfunktionalität des Schadprogramms. Das beinhaltet:

• Übertragung über Wechselmedien.
• Überwachung für den Betrieb des Siemens Step7 Systems. Um dies zu tun, injiziert der Rootkit-Treiber seine zwischengeschaltete Bibliothek in den Prozess s7tgtopx.exe und ersetzt die ursprüngliche s7otbxsx.dll, die den Betrieb der folgenden API-Funktionen emuliert:

  
  
  
  s7_event
  
  
  
  s7ag_bub_cycl_read_create
  
  
  
  s7ag_bub_read_var
  
  
  
  s7ag_bub_write_var
  
  
  
  s7ag_link_in
  
  
  
  s7ag_read_szl
  
  
  
  s7ag_test
  
  
  
  s7blk_delete
  
  
  
  s7blk_findfirst
  
  
  
  s7blk_findnext
  
  
  
  s7blk_read
  
  
  
  s7blk_write
  
  
  
  s7db_close
  
  
  
  s7db_open
  
  
  
  s7ag_bub_read_var_seg
  
  
  
  s7ag_bub_write_var_seg
  
  
  
  

  Sammeln verschiedener Informationen darüber, wie das System funktioniert.

• Ausführung von SQL-Anfragen Die Malware ruft eine Liste von Computern im lokalen Netzwerk ab und überprüft, ob auf einer von ihnen derzeit Microsoft SQL Server ausgeführt wird, der das Prozessvisualisierungssystem Siemens WinCC bedient. Wenn der Server erkannt wird, versucht die Malware, sich mit dem Benutzernamen und dem Kennwort WinCCConnect / 2WSXcder (CVE-2010-2772) mit der Datenbank zu verbinden. Anschließend versucht sie, Informationen zu Tabellen zu erhalten, z.

  
  
  
  MCPTPROJEKT
  
  
  
  MCPTVARIABLEDESC
  
  
  
  MCPVREADVARPERCON
  
  
  
  

• Es sammelt Informationen aus Dateien mit den folgenden Erweiterungen:

  
  
  
  * .S7P
  
  
  
  * .MCP
  
  
  
  * .LDF
  
  
  
  

  Diese werden über das Siemens Step7-System erstellt. Die Suche nach Dateien erfolgt auf der gesamten Festplatte des Computers.

• Er sendet die gesammelten Informationen verschlüsselt über das Internet an den Server des böswilligen Benutzers.