Worm.Win32.Stuxnet

En utilisant le pilote:

 % System% driversmrxnet.sys 

Le rootkit se connecte en tant que filtre de pilote aux configurations de système de fichiers suivantes:

FileSystemntfs



FileSystemfastfat



FileSystemcdfs

et obtient ainsi le contrôle du système de fichiers de l'ordinateur infecté. Le rootkit cache les fichiers avec des noms comme celui-ci:

 ~ WTR <rnd> .tmp 

où <rnd> est un nombre aléatoire à quatre chiffres, par exemple:

 ~ WTR4132.tmp



~ WTR4141.tmp

Il cache également les fichiers avec l'extension LNK et une taille de fichier égale à 4171 octets. Le fichier rootkit a une signature numérique Realtek Semiconductor Corp. Il contient la chaîne suivante:

b: myrtussrcobjfre_w2k_x86i386guava.pdb 

En utilisant le pilote:

 % System% driversmrxcls.sys 

Le programme malveillant injecte du code malveillant dans les processus du mode utilisateur. Pour ce faire, il charge une bibliothèque dynamique DLL dans les processus système suivants:

svchost.exe



services.exe



lsass.exe

après quoi, leurs listes de modules contiennent des bibliothèques avec des noms comme celui-ci:

kernel32.dll.aslr. <rnd>



shell32.dll.aslr. <rnd>

où <rnd> est un nombre hexadécimal aléatoire. Le code injecté se trouve dans le fichier:

 % WinDir% infoem7A.PNF 

sous forme cryptée.

Le code injecté contient la fonctionnalité principale du programme malveillant. Ceci comprend:

• Propagation via des supports amovibles.
• Surveillance du fonctionnement du système Siemens Step7. Pour ce faire, le pilote de rootkit injecte sa bibliothèque intermédiaire dans le processus s7tgtopx.exe, en remplaçant l'original s7otbxsx.dll, qui émule l'opération des fonctions API suivantes:

  
  
  
  s7_event
  
  
  
  s7ag_bub_cycl_read_create
  
  
  
  s7ag_bub_read_var
  
  
  
  s7ag_bub_write_var
  
  
  
  s7ag_link_in
  
  
  
  s7ag_read_szl
  
  
  
  s7ag_test
  
  
  
  s7blk_delete
  
  
  
  s7blk_findfirst
  
  
  
  s7blk_findnext
  
  
  
  s7blk_read
  
  
  
  s7blk_write
  
  
  
  s7db_close
  
  
  
  s7db_open
  
  
  
  s7ag_bub_read_var_seg
  
  
  
  s7ag_bub_write_var_seg
  
  
  
  

  recueillir diverses informations sur le fonctionnement du système.

• Exécution de requêtes SQL. Le logiciel malveillant obtient une liste d'ordinateurs sur le réseau local et vérifie si l'un d'entre eux est en cours d'exécution de Microsoft SQL Server, qui sert le système de visualisation de processus Siemens WinCC. Si le serveur est détecté, le logiciel malveillant tente de se connecter à la base de données avec le nom d'utilisateur et le mot de passe WinCCConnect / 2WSXcder (CVE-2010-2772), après quoi il tente d'obtenir des informations sur les tables, telles que:

  
  
  
  MCPTPROJECT
  
  
  
  MCPTVARIABLEDESC
  
  
  
  MCPVREADVARPERCON
  
  
  
  

• Il recueille des informations à partir des fichiers avec les extensions suivantes:

  
  
  
  * .S7P
  
  
  
  * .MCP
  
  
  
  * .LDF
  
  
  
  

  Ceux-ci sont créés à l'aide du système Siemens Step7. Une recherche de fichiers est effectuée sur l'ensemble du disque dur de l'ordinateur.

• Il envoie les informations collectées via Internet au serveur de l'utilisateur malveillant sous forme cryptée.