本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Worm.Win32.Stuxnet

検出日 07/15/2010
クラス Worm
プラットフォーム Win32
説明

ドライバの使用:

 %System%driversmrxnet.sys 

ルートキットは、ドライバフィルタとして次のファイルシステム構成に接続します。




FileSystemntfs



FileSystemfastfat



FileSystemcdfs



感染したコンピュータのファイルシステムの制御を取得する。ルートキットは次のような名前のファイルを隠します:

 〜WTR <rnd> .tmp 

ここで<rnd>はランダムな4桁の数字です。例:

 〜WTR4132.tmp



〜WTR4141.tmp



拡張子LNK、ファイルサイズ4171バイトのファイルも隠します。ルートキットファイルには、Realtek Semiconductor Corpデジタル署名があります。それは以下の文字列を含んでいます:




b:myrtussrcobjfre_w2k_x86i386guava.pdb 

ドライバの使用:

 %System%driversmrxcls.sys 

悪意のあるプログラムは、悪意のあるコードをユーザーモードのプロセスに注入します。これを行うには、DLLダイナミックライブラリを次のシステムプロセスにロードします。




svchost.exe



services.exe



lsass.exe



その後、モジュールリストには次のような名前のライブラリが含まれています:




kernel32.dll.aslr。<rnd>



shell32.dll.aslr。<rnd>



ここで、<rnd>はランダムな16進数です。注入されたコードはファイル内にあります:

 %WinDir%infoem7A.PNF 

暗号化された形で。

注入されたコードには、悪質なプログラムの主な機能が含まれています。これも:

  • リムーバブルメディア経由での伝播。
  • Siemens Step7システムの運用監視。これを行うために、ルートキットドライバは、次のAPI関数の動作をエミュレートするオリジナルのs7otbxsx.dllを置き換えて、s7tgtopx.exeプロセスに中間ライブラリを挿入します。
    
    
    
    s7_event
    
    
    
    s7ag_bub_cycl_read_create
    
    
    
    s7ag_bub_read_var
    
    
    
    s7ag_bub_write_var
    
    
    
    s7ag_link_in
    
    
    
    s7ag_read_szl
    
    
    
    s7ag_test
    
    
    
    s7blk_delete
    
    
    
    s7blk_findfirst
    
    
    
    s7blk_findnext
    
    
    
    s7blk_read
    
    
    
    s7blk_write
    
    
    
    s7db_close
    
    
    
    s7db_open
    
    
    
    s7ag_bub_read_var_seg
    
    
    
    s7ag_bub_write_var_seg
    
    
    
    

    システムの仕組みに関するさまざまな情報を収集します。

  • SQL要求の実行。このマルウェアは、ローカルネットワーク上のコンピュータのリストを取得し、そのうちのいずれかがプロセス可視化システムSiemens WinCCを提供するMicrosoft SQL Serverを現在実行しているかどうかをチェックします。サーバが検出された場合、マルウェアはユーザ名とパスワードWinCCConnect / 2WSXcder(CVE-2010-2772)を使用してデータベースに接続しようとします。その後、次のようなテーブルに関する情報を取得しようとします。
    
    
    
    MCPTPROJECT
    
    
    
    MCPTVARIABLEDESC
    
    
    
    MCPVREADVARPERCON
    
    
    
    
  • 次の拡張子を持つファイルから情報を収集します。
    
    
    
    * .S7P
    
    
    
    * .MCP
    
    
    
    * .LDF
    
    
    
    

    これらはSiemens Step7システムによって作成されます。ファイルの検索は、コンピュータのハードディスク全体で実行されます。

  • 収集された情報は、インターネットを介して悪意のあるユーザーのサーバーに暗号化された形式で送信されます。

オリジナルへのリンク