Worm.Win32.Stuxnet

Дата обнаружения 15/07/2010
Класс Worm
Платформа Win32
Описание

С помощью драйвера:

%System%driversmrxnet.sys

Руткит подключается как драйвер-фильтр к следующим устройствам файловых систем:




FileSystemntfs



FileSystemfastfat



FileSystemcdfs



и таким образом получает контроль над файловой системой зараженного компьютера. Руткит скрывает файлы, имеющие имена вида:




~WTR.tmp



Где — случайное четырехзначное число, например:




~WTR4132.tmp



~WTR4141.tmp



Также скрываются файлы имеющие расширение LNK и размер файла равный 4171 байт.

Файл руткита подписан цифровой подписью Realtek Semiconductor Corp

Содержит строку:

b:myrtussrcobjfre_w2k_x86i386guava.pdb

При помощи драйвера:

%System%driversmrxcls.sys

Вредоносная программа внедряет вредоносный код(inject) в процессы пользовательского режима. Для этого загружает динамическую библиотеку DLL в следующие системные процессы:




svchost.exe



services.exe



lsass.exe



после чего в их списке модулей появляются библиотеки с именами вида:




kernel32.dll.aslr.



shell32.dll.aslr.



Где — случайное шестнадцатеричное число.

Внедряемый код находится в файле:

%WinDir%infoem7A.PNF

в зашифрованном виде.

Внедряемый код содержит основной функционал данной вредоносной программы. Который включает:

  • Распространение на сменных носителях.
  • Мониторинг за работой системы Siemens Step7. Для этого драйвер руткита внедряет в процесс s7tgtopx.exe свою библиотеку-посредник, вместо оригинальной s7otbxsx.dll, которая эмулирует работу следующих API-функций:
    
    
    
    s7_event
    
    
    
    s7ag_bub_cycl_read_create
    
    
    
    s7ag_bub_read_var
    
    
    
    s7ag_bub_write_var
    
    
    
    s7ag_link_in
    
    
    
    s7ag_read_szl
    
    
    
    s7ag_test
    
    
    
    s7blk_delete
    
    
    
    s7blk_findfirst
    
    
    
    s7blk_findnext
    
    
    
    s7blk_read
    
    
    
    s7blk_write
    
    
    
    s7db_close
    
    
    
    s7db_open
    
    
    
    s7ag_bub_read_var_seg
    
    
    
    s7ag_bub_write_var_seg
    
    
    
    

    собирая различные данные о работе системы.

  • Выполнение SQL запросов. Вредонос получает список компьютеров в локальной сети и проверяет запущен ли на каком-либо из них Microsoft SQL сервер, который обслуживает систему визуализации производственных процессов Siemens WinCC. Если сервер обнаружен, вредонос пытается подключиться к базе данных, используя имя пользователя и пароль WinCCConnect/2WSXcder (CVE-2010-2772) после чего пытается получить данные таблиц, таких как:
    
    
    
    MCPTPROJECT
    
    
    
    MCPTVARIABLEDESC
    
    
    
    MCPVREADVARPERCON
    
    
    
    
  • Собирает информацию из файлов со следующими расширениями:
    
    
    
    *.S7P
    
    
    
    *.MCP
    
    
    
    *.LDF
    
    
    
    

    Которые созданы при помощи системы Siemens Step7. Поиск файлов ведется на всем жестком диске компьютера.

  • Отправляет собранные данные в интернет на сервера злоумышленников в зашифрованном виде.