DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Worm.Win32.Stuxnet

Erkennungsdatum 07/15/2010
Kategorie Worm
Plattform Win32
Beschreibung

Verwenden des Treibers:

 % System% Treibermrxnet.sys 

Das Rootkit verbindet sich als Treiberfilter mit den folgenden Dateisystemanordnungen:




DateiSystemntfs



DateiSystemfastfat



DateiSystemcdfs



und erhält dadurch die Kontrolle über das Dateisystem des infizierten Computers. Das Rootkit versteckt Dateien mit folgenden Namen:

 ~ WTR <rnd> .tmp 

wobei <rnd> eine zufällige vierstellige Zahl ist, zB:

 ~ WTR4132.tmp



~ WTR4141.tmp



Es verbirgt auch Dateien mit der Erweiterung LNK und einer Dateigröße von 4171 Bytes. Die Rootkit-Datei verfügt über eine digitale Signatur von Realtek Semiconductor Corp. Es enthält die folgende Zeichenfolge:




b: myrtussrcobjfre_w2k_x86i386guava.pdb 

Verwenden des Treibers:

 % System% Treibermrxkls.sys 

Das bösartige Programm injiziert bösartigen Code in die Prozesse des Benutzermodus. Dazu lädt es eine dynamische DLL-Bibliothek in die folgenden Systemprozesse:




svchost.exe



services.exe



lsass.exe



Danach enthalten ihre Modullisten Bibliotheken mit folgenden Namen:




kernel32.dll.aslr. <rnd>



shell32.dll.aslr. <rnd>



wobei <rnd> eine zufällige hexadezimale Zahl ist. Der eingegebene Code befindet sich in der Datei:

 % WinDir% infoem7A.PNF 

in verschlüsselter Form.

Der injizierte Code enthält die Hauptfunktionalität des Schadprogramms. Das beinhaltet:

  • Übertragung über Wechselmedien.
  • Überwachung für den Betrieb des Siemens Step7 Systems. Um dies zu tun, injiziert der Rootkit-Treiber seine zwischengeschaltete Bibliothek in den Prozess s7tgtopx.exe und ersetzt die ursprüngliche s7otbxsx.dll, die den Betrieb der folgenden API-Funktionen emuliert:
    
    
    
    s7_event
    
    
    
    s7ag_bub_cycl_read_create
    
    
    
    s7ag_bub_read_var
    
    
    
    s7ag_bub_write_var
    
    
    
    s7ag_link_in
    
    
    
    s7ag_read_szl
    
    
    
    s7ag_test
    
    
    
    s7blk_delete
    
    
    
    s7blk_findfirst
    
    
    
    s7blk_findnext
    
    
    
    s7blk_read
    
    
    
    s7blk_write
    
    
    
    s7db_close
    
    
    
    s7db_open
    
    
    
    s7ag_bub_read_var_seg
    
    
    
    s7ag_bub_write_var_seg
    
    
    
    

    Sammeln verschiedener Informationen darüber, wie das System funktioniert.

  • Ausführung von SQL-Anfragen Die Malware ruft eine Liste von Computern im lokalen Netzwerk ab und überprüft, ob auf einer von ihnen derzeit Microsoft SQL Server ausgeführt wird, der das Prozessvisualisierungssystem Siemens WinCC bedient. Wenn der Server erkannt wird, versucht die Malware, sich mit dem Benutzernamen und dem Kennwort WinCCConnect / 2WSXcder (CVE-2010-2772) mit der Datenbank zu verbinden. Anschließend versucht sie, Informationen zu Tabellen zu erhalten, z.
    
    
    
    MCPTPROJEKT
    
    
    
    MCPTVARIABLEDESC
    
    
    
    MCPVREADVARPERCON
    
    
    
    
  • Es sammelt Informationen aus Dateien mit den folgenden Erweiterungen:
    
    
    
    * .S7P
    
    
    
    * .MCP
    
    
    
    * .LDF
    
    
    
    

    Diese werden über das Siemens Step7-System erstellt. Die Suche nach Dateien erfolgt auf der gesamten Festplatte des Computers.

  • Er sendet die gesammelten Informationen verschlüsselt über das Internet an den Server des böswilligen Benutzers.

Link zum Original