Worm.Win32.Stuxnet

Usando el controlador:

 % System% driversmrxnet.sys 

El rootkit se conecta como un filtro de controlador a los siguientes arreglos del sistema de archivos:

FileSystemntfs



FileSystemfastfat



FileSystemcdfs

y de ese modo obtiene el control del sistema de archivos de la computadora infectada. El rootkit oculta archivos con nombres como este:

 ~ WTR <rnd> .tmp 

donde <rnd> es un número aleatorio de cuatro dígitos, por ejemplo:

 ~ WTR4132.tmp



~ WTR4141.tmp

También oculta archivos con la extensión LNK y un tamaño de archivo igual a 4171 bytes. El archivo de rootkit tiene una firma digital de Realtek Semiconductor Corp. Contiene la siguiente cadena:

b: myrtussrcobjfre_w2k_x86i386guava.pdb 

Usando el controlador:

 % System% driversmrxcls.sys 

El programa malicioso inyecta código malicioso en los procesos del modo de usuario. Para hacer esto, carga una biblioteca dinámica DLL en los siguientes procesos del sistema:

svchost.exe



services.exe



lsass.exe

después de lo cual, sus listas de módulos contienen bibliotecas con nombres como este:

kernel32.dll.aslr. <rnd>



shell32.dll.aslr. <rnd>

donde <rnd> es un número hexadecimal aleatorio. El código inyectado se encuentra en el archivo:

 % WinDir% infoem7A.PNF 

en forma encriptada

El código inyectado contiene la funcionalidad principal del programa malicioso. Esto incluye:

• Propagación a través de medios extraíbles.
• Monitoreo para el funcionamiento del sistema Siemens Step7. Para hacer esto, el controlador de rootkit inyecta su biblioteca intermedia al proceso s7tgtopx.exe, reemplazando el s7otbxsx.dll original, que emula el funcionamiento de las siguientes funciones de API:

  
  
  
  s7_event
  
  
  
  s7ag_bub_cycl_read_create
  
  
  
  s7ag_bub_read_var
  
  
  
  s7ag_bub_write_var
  
  
  
  s7ag_link_in
  
  
  
  s7ag_read_szl
  
  
  
  s7ag_test
  
  
  
  s7blk_delete
  
  
  
  s7blk_findfirst
  
  
  
  s7blk_findnext
  
  
  
  s7blk_read
  
  
  
  s7blk_write
  
  
  
  s7db_close
  
  
  
  s7db_open
  
  
  
  s7ag_bub_read_var_seg
  
  
  
  s7ag_bub_write_var_seg
  
  
  
  

  recopilando diversa información sobre cómo funciona el sistema.

• Ejecución de solicitudes SQL. El malware obtiene una lista de equipos en la red local y comprueba si alguno de ellos está ejecutando Microsoft SQL Server, que sirve para el sistema de visualización de procesos Siemens WinCC. Si se detecta el servidor, el malware intenta conectarse a la base de datos con el nombre de usuario y la contraseña WinCCConnect / 2WSXcder (CVE-2010-2772), después de lo cual intenta obtener información sobre tablas, como por ejemplo:

  
  
  
  MCPTPROJECT
  
  
  
  MCPTVARIABLEDESC
  
  
  
  MCPVREADVARPERCON
  
  
  
  

• Recopila información de archivos con las siguientes extensiones:

  
  
  
  * .S7P
  
  
  
  * .MCP
  
  
  
  * .LDF
  
  
  
  

  Estos se crean a través del sistema Siemens Step7. La búsqueda de archivos se lleva a cabo en todo el disco duro de la computadora.

• Envía la información recopilada a través de Internet al servidor del usuario malintencionado en forma cifrada.