BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Worm.Win32.Stuxnet

Bulunma tarihi 07/15/2010
Sınıf Worm
Platform Win32
Açıklama

Sürücüyü kullanma:

 % System% driversmrxnet.sys 

Kök seti, aşağıdaki dosya sistemi düzenlemelerine bir sürücü filtresi olarak bağlanır:




FileSystemntfs



FileSystemfastfat



FileSystemcdfs



ve böylece virüslü bilgisayarın dosya sisteminin kontrolünü elde eder. Kök seti, dosyaları şu şekilde isimleriyle gizler:

 ~ WTR <RND> .Tmp 

<rnd> rasgele dört haneli bir sayıdır, örneğin:

 ~ WTR4132.tmp



~ WTR4141.tmp



Ayrıca dosyaları LNK uzantısı ve 4171 bayta eşit bir dosya boyutu ile gizler. Rootkit dosyasının Realtek Semiconductor Corp dijital imzası vardır. Aşağıdaki dizeyi içerir:




b: myrtussrcobjfre_w2k_x86i386guava.pdb 

Sürücüyü kullanma:

 % System% driversmrxcls.sys 

Kötü amaçlı program, kötü amaçlı kodu kullanıcı kipinin işlemlerine enjekte eder. Bunu yapmak için, aşağıdaki sistem işlemlerine bir DLL dinamik kitaplığı yükler:




svchost.exe



Services.exe



lsass.exe



Bundan sonra, modül listelerinde bu gibi isimler içeren kütüphaneler bulunur:




kernel32.dll.aslr. <RND>



shell32.dll.aslr. <RND>



Burada rastgele bir onaltılık sayıdır. Enjekte edilen kod dosyada bulunur:

 % WinDir% infoem7A.PNF 

şifrelenmiş biçimde.

Enjekte edilen kod, kötü amaçlı programın ana işlevlerini içerir. Bu içerir:

  • Çıkarılabilir ortam üzerinden yayılım.
  • Siemens Step7 sisteminin çalışması için izleme. Bunu yapmak için, rootkit sürücüsü, aşağıdaki API işlevlerinin çalışmasını öykünen orijinal s7otbxsx.dll yerine, s7tgtopx.exe işlemine aracı kitaplığı enjekte eder:
    
    
    
    s7_event
    
    
    
    s7ag_bub_cycl_read_create
    
    
    
    s7ag_bub_read_var
    
    
    
    s7ag_bub_write_var
    
    
    
    s7ag_link_in
    
    
    
    s7ag_read_szl
    
    
    
    s7ag_test
    
    
    
    s7blk_delete
    
    
    
    s7blk_findfirst
    
    
    
    s7blk_findnext
    
    
    
    s7blk_read
    
    
    
    s7blk_write
    
    
    
    s7db_close
    
    
    
    s7db_open
    
    
    
    s7ag_bub_read_var_seg
    
    
    
    s7ag_bub_write_var_seg
    
    
    
    

    Sistemin nasıl çalıştığı hakkında çeşitli bilgiler toplar.

  • SQL isteklerinin yürütülmesi. Kötü amaçlı yazılım yerel ağdaki bilgisayarların bir listesini alır ve bunların herhangi birinin şu anda Microsoft Visual Studio'nun WinCC işlem görselleştirme sistemine hizmet veren SQL Server'ı çalıştırıp çalıştırmadığını kontrol eder. Sunucu algılanırsa, kötü amaçlı yazılım, veritabanına kullanıcı adı ve parola WinCCConnect / 2WSXcder (CVE-2010-2772) ile bağlanmayı dener, daha sonra aşağıdaki gibi tablolar hakkında bilgi almaya çalışır:
    
    
    
    MCPTPROJECT
    
    
    
    MCPTVARIABLEDESC
    
    
    
    MCPVREADVARPERCON
    
    
    
    
  • Aşağıdaki uzantılara sahip dosyalardan bilgi toplar:
    
    
    
    * .S7P
    
    
    
    * .MCP
    
    
    
    * .LDF
    
    
    
    

    Bunlar Siemens Step7 sistemi ile oluşturulur. Bilgisayarın sabit diskinin tamamı için dosya araması gerçekleştirilir.

  • Toplanan bilgileri Internet üzerinden kötü niyetli kullanıcının sunucusuna şifrelenmiş biçimde gönderir.

Orijinaline link