Worm.Win32.Stuxnet

С помощью драйвера:

%System%driversmrxnet.sys

Руткит подключается как драйвер-фильтр к следующим устройствам файловых систем:

FileSystemntfs



FileSystemfastfat



FileSystemcdfs

и таким образом получает контроль над файловой системой зараженного компьютера. Руткит скрывает файлы, имеющие имена вида:

~WTR.tmp

Где — случайное четырехзначное число, например:

~WTR4132.tmp



~WTR4141.tmp

Также скрываются файлы имеющие расширение LNK и размер файла равный 4171 байт.

Файл руткита подписан цифровой подписью Realtek Semiconductor Corp

Содержит строку:

b:myrtussrcobjfre_w2k_x86i386guava.pdb

При помощи драйвера:

%System%driversmrxcls.sys

Вредоносная программа внедряет вредоносный код(inject) в процессы пользовательского режима. Для этого загружает динамическую библиотеку DLL в следующие системные процессы:

svchost.exe



services.exe



lsass.exe

после чего в их списке модулей появляются библиотеки с именами вида:

kernel32.dll.aslr.



shell32.dll.aslr.

Где — случайное шестнадцатеричное число.

Внедряемый код находится в файле:

%WinDir%infoem7A.PNF

в зашифрованном виде.

Внедряемый код содержит основной функционал данной вредоносной программы. Который включает:

• Распространение на сменных носителях.
• Мониторинг за работой системы Siemens Step7. Для этого драйвер руткита внедряет в процесс s7tgtopx.exe свою библиотеку-посредник, вместо оригинальной s7otbxsx.dll, которая эмулирует работу следующих API-функций:

  
  
  
  s7_event
  
  
  
  s7ag_bub_cycl_read_create
  
  
  
  s7ag_bub_read_var
  
  
  
  s7ag_bub_write_var
  
  
  
  s7ag_link_in
  
  
  
  s7ag_read_szl
  
  
  
  s7ag_test
  
  
  
  s7blk_delete
  
  
  
  s7blk_findfirst
  
  
  
  s7blk_findnext
  
  
  
  s7blk_read
  
  
  
  s7blk_write
  
  
  
  s7db_close
  
  
  
  s7db_open
  
  
  
  s7ag_bub_read_var_seg
  
  
  
  s7ag_bub_write_var_seg
  
  
  
  

  собирая различные данные о работе системы.

• Выполнение SQL запросов. Вредонос получает список компьютеров в локальной сети и проверяет запущен ли на каком-либо из них Microsoft SQL сервер, который обслуживает систему визуализации производственных процессов Siemens WinCC. Если сервер обнаружен, вредонос пытается подключиться к базе данных, используя имя пользователя и пароль WinCCConnect/2WSXcder (CVE-2010-2772) после чего пытается получить данные таблиц, таких как:

  
  
  
  MCPTPROJECT
  
  
  
  MCPTVARIABLEDESC
  
  
  
  MCPVREADVARPERCON
  
  
  
  

• Собирает информацию из файлов со следующими расширениями:

  
  
  
  *.S7P
  
  
  
  *.MCP
  
  
  
  *.LDF
  
  
  
  

  Которые созданы при помощи системы Siemens Step7. Поиск файлов ведется на всем жестком диске компьютера.

• Отправляет собранные данные в интернет на сервера злоумышленников в зашифрованном виде.