Worm.Win32.Stuxnet

Родительский класс: VirWare

Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:

• файловые;
• загрузочные;
• макровирусы;
• скриптовые.

Любой представитель данной категории может дополнительно содержать троянский функционал. Также следует отметить, что многие компьютерные черви используют более одного способа распространения своей копии по сетям.

Класс: Worm

Размножается в компьютерных сетях через сетевые ресурсы или съемные носители. В отличие от Net-Worm, чтобы Worm активировался, пользователь должен запустить его. Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если такие обнаружены). При этом такие черви или перебирают доступные сетевые каталоги, используя функции операционной системы, и/или случайным образом ищут компьютеры в интернете, подключаются к ним и пытаются открыть их диски для полного доступа. Также к данному типу червей относятся черви, которые по тем или иным причинам нельзя отнести ни к одному из вышеописанных классов (например, мобильные черви).

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

С помощью драйвера:

%System%driversmrxnet.sys

Руткит подключается как драйвер-фильтр к следующим устройствам файловых систем:

FileSystemntfs



FileSystemfastfat



FileSystemcdfs

и таким образом получает контроль над файловой системой зараженного компьютера. Руткит скрывает файлы, имеющие имена вида:

~WTR.tmp

Где - случайное четырехзначное число, например:

~WTR4132.tmp



~WTR4141.tmp

Также скрываются файлы имеющие расширение LNK и размер файла равный 4171 байт.

Файл руткита подписан цифровой подписью Realtek Semiconductor Corp Содержит строку:

b:myrtussrcobjfre_w2k_x86i386guava.pdb

При помощи драйвера:

%System%driversmrxcls.sys

Вредоносная программа внедряет вредоносный код(inject) в процессы пользовательского режима. Для этого загружает динамическую библиотеку DLL в следующие системные процессы:

svchost.exe



services.exe



lsass.exe

после чего в их списке модулей появляются библиотеки с именами вида:

kernel32.dll.aslr.



shell32.dll.aslr.

Где - случайное шестнадцатеричное число. Внедряемый код находится в файле:

%WinDir%infoem7A.PNF

в зашифрованном виде.

Внедряемый код содержит основной функционал данной вредоносной программы. Который включает:

• Распространение на сменных носителях.
• Мониторинг за работой системы Siemens Step7. Для этого драйвер руткита внедряет в процесс s7tgtopx.exe свою библиотеку-посредник, вместо оригинальной s7otbxsx.dll, которая эмулирует работу следующих API-функций:

  
  
  
  s7_event
  
  
  
  s7ag_bub_cycl_read_create
  
  
  
  s7ag_bub_read_var
  
  
  
  s7ag_bub_write_var
  
  
  
  s7ag_link_in
  
  
  
  s7ag_read_szl
  
  
  
  s7ag_test
  
  
  
  s7blk_delete
  
  
  
  s7blk_findfirst
  
  
  
  s7blk_findnext
  
  
  
  s7blk_read
  
  
  
  s7blk_write
  
  
  
  s7db_close
  
  
  
  s7db_open
  
  
  
  s7ag_bub_read_var_seg
  
  
  
  s7ag_bub_write_var_seg
  
  
  
  

  собирая различные данные о работе системы.
• Выполнение SQL запросов. Вредонос получает список компьютеров в локальной сети и проверяет запущен ли на каком-либо из них Microsoft SQL сервер, который обслуживает систему визуализации производственных процессов Siemens WinCC. Если сервер обнаружен, вредонос пытается подключиться к базе данных, используя имя пользователя и пароль WinCCConnect/2WSXcder (CVE-2010-2772) после чего пытается получить данные таблиц, таких как:

  
  
  
  MCPTPROJECT
  
  
  
  MCPTVARIABLEDESC
  
  
  
  MCPVREADVARPERCON
  
  
  
  

• Собирает информацию из файлов со следующими расширениями:

  
  
  
  *.S7P
  
  
  
  *.MCP
  
  
  
  *.LDF
  
  
  
  

  Которые созданы при помощи системы Siemens Step7. Поиск файлов ведется на всем жестком диске компьютера.
• Отправляет собранные данные в интернет на сервера злоумышленников в зашифрованном виде.

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

Нашли неточность в описании этой уязвимости? Дайте нам знать!