CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Worm.Win32.Stuxnet

Date de la détection 07/15/2010
Classe Worm
Plateforme Win32
Description

En utilisant le pilote:

 % System% driversmrxnet.sys 

Le rootkit se connecte en tant que filtre de pilote aux configurations de système de fichiers suivantes:




FileSystemntfs



FileSystemfastfat



FileSystemcdfs



et obtient ainsi le contrôle du système de fichiers de l'ordinateur infecté. Le rootkit cache les fichiers avec des noms comme celui-ci:

 ~ WTR <rnd> .tmp 

où <rnd> est un nombre aléatoire à quatre chiffres, par exemple:

 ~ WTR4132.tmp



~ WTR4141.tmp



Il cache également les fichiers avec l'extension LNK et une taille de fichier égale à 4171 octets. Le fichier rootkit a une signature numérique Realtek Semiconductor Corp. Il contient la chaîne suivante:




b: myrtussrcobjfre_w2k_x86i386guava.pdb 

En utilisant le pilote:

 % System% driversmrxcls.sys 

Le programme malveillant injecte du code malveillant dans les processus du mode utilisateur. Pour ce faire, il charge une bibliothèque dynamique DLL dans les processus système suivants:




svchost.exe



services.exe



lsass.exe



après quoi, leurs listes de modules contiennent des bibliothèques avec des noms comme celui-ci:




kernel32.dll.aslr. <rnd>



shell32.dll.aslr. <rnd>



où <rnd> est un nombre hexadécimal aléatoire. Le code injecté se trouve dans le fichier:

 % WinDir% infoem7A.PNF 

sous forme cryptée.

Le code injecté contient la fonctionnalité principale du programme malveillant. Ceci comprend:

  • Propagation via des supports amovibles.
  • Surveillance du fonctionnement du système Siemens Step7. Pour ce faire, le pilote de rootkit injecte sa bibliothèque intermédiaire dans le processus s7tgtopx.exe, en remplaçant l'original s7otbxsx.dll, qui émule l'opération des fonctions API suivantes:
    
    
    
    s7_event
    
    
    
    s7ag_bub_cycl_read_create
    
    
    
    s7ag_bub_read_var
    
    
    
    s7ag_bub_write_var
    
    
    
    s7ag_link_in
    
    
    
    s7ag_read_szl
    
    
    
    s7ag_test
    
    
    
    s7blk_delete
    
    
    
    s7blk_findfirst
    
    
    
    s7blk_findnext
    
    
    
    s7blk_read
    
    
    
    s7blk_write
    
    
    
    s7db_close
    
    
    
    s7db_open
    
    
    
    s7ag_bub_read_var_seg
    
    
    
    s7ag_bub_write_var_seg
    
    
    
    

    recueillir diverses informations sur le fonctionnement du système.

  • Exécution de requêtes SQL. Le logiciel malveillant obtient une liste d'ordinateurs sur le réseau local et vérifie si l'un d'entre eux est en cours d'exécution de Microsoft SQL Server, qui sert le système de visualisation de processus Siemens WinCC. Si le serveur est détecté, le logiciel malveillant tente de se connecter à la base de données avec le nom d'utilisateur et le mot de passe WinCCConnect / 2WSXcder (CVE-2010-2772), après quoi il tente d'obtenir des informations sur les tables, telles que:
    
    
    
    MCPTPROJECT
    
    
    
    MCPTVARIABLEDESC
    
    
    
    MCPVREADVARPERCON
    
    
    
    
  • Il recueille des informations à partir des fichiers avec les extensions suivantes:
    
    
    
    * .S7P
    
    
    
    * .MCP
    
    
    
    * .LDF
    
    
    
    

    Ceux-ci sont créés à l'aide du système Siemens Step7. Une recherche de fichiers est effectuée sur l'ensemble du disque dur de l'ordinateur.

  • Il envoie les informations collectées via Internet au serveur de l'utilisateur malveillant sous forme cryptée.

Lien vers l'original