ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Worm.Win32.Stuxnet

Fecha de detección 07/15/2010
Clase Worm
Plataforma Win32
Descripción

Usando el controlador:

 % System% driversmrxnet.sys 

El rootkit se conecta como un filtro de controlador a los siguientes arreglos del sistema de archivos:




FileSystemntfs



FileSystemfastfat



FileSystemcdfs



y de ese modo obtiene el control del sistema de archivos de la computadora infectada. El rootkit oculta archivos con nombres como este:

 ~ WTR <rnd> .tmp 

donde <rnd> es un número aleatorio de cuatro dígitos, por ejemplo:

 ~ WTR4132.tmp



~ WTR4141.tmp



También oculta archivos con la extensión LNK y un tamaño de archivo igual a 4171 bytes. El archivo de rootkit tiene una firma digital de Realtek Semiconductor Corp. Contiene la siguiente cadena:




b: myrtussrcobjfre_w2k_x86i386guava.pdb 

Usando el controlador:

 % System% driversmrxcls.sys 

El programa malicioso inyecta código malicioso en los procesos del modo de usuario. Para hacer esto, carga una biblioteca dinámica DLL en los siguientes procesos del sistema:




svchost.exe



services.exe



lsass.exe



después de lo cual, sus listas de módulos contienen bibliotecas con nombres como este:




kernel32.dll.aslr. <rnd>



shell32.dll.aslr. <rnd>



donde <rnd> es un número hexadecimal aleatorio. El código inyectado se encuentra en el archivo:

 % WinDir% infoem7A.PNF 

en forma encriptada

El código inyectado contiene la funcionalidad principal del programa malicioso. Esto incluye:

  • Propagación a través de medios extraíbles.
  • Monitoreo para el funcionamiento del sistema Siemens Step7. Para hacer esto, el controlador de rootkit inyecta su biblioteca intermedia al proceso s7tgtopx.exe, reemplazando el s7otbxsx.dll original, que emula el funcionamiento de las siguientes funciones de API:
    
    
    
    s7_event
    
    
    
    s7ag_bub_cycl_read_create
    
    
    
    s7ag_bub_read_var
    
    
    
    s7ag_bub_write_var
    
    
    
    s7ag_link_in
    
    
    
    s7ag_read_szl
    
    
    
    s7ag_test
    
    
    
    s7blk_delete
    
    
    
    s7blk_findfirst
    
    
    
    s7blk_findnext
    
    
    
    s7blk_read
    
    
    
    s7blk_write
    
    
    
    s7db_close
    
    
    
    s7db_open
    
    
    
    s7ag_bub_read_var_seg
    
    
    
    s7ag_bub_write_var_seg
    
    
    
    

    recopilando diversa información sobre cómo funciona el sistema.

  • Ejecución de solicitudes SQL. El malware obtiene una lista de equipos en la red local y comprueba si alguno de ellos está ejecutando Microsoft SQL Server, que sirve para el sistema de visualización de procesos Siemens WinCC. Si se detecta el servidor, el malware intenta conectarse a la base de datos con el nombre de usuario y la contraseña WinCCConnect / 2WSXcder (CVE-2010-2772), después de lo cual intenta obtener información sobre tablas, como por ejemplo:
    
    
    
    MCPTPROJECT
    
    
    
    MCPTVARIABLEDESC
    
    
    
    MCPVREADVARPERCON
    
    
    
    
  • Recopila información de archivos con las siguientes extensiones:
    
    
    
    * .S7P
    
    
    
    * .MCP
    
    
    
    * .LDF
    
    
    
    

    Estos se crean a través del sistema Siemens Step7. La búsqueda de archivos se lleva a cabo en todo el disco duro de la computadora.

  • Envía la información recopilada a través de Internet al servidor del usuario malintencionado en forma cifrada.

Enlace al original