Zayıf noktalar Tehditler

English Russian Japanese LatAm Türkiye Brasil France Český Deutschland

BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Worm.Win32.Stuxnet

Başlangıç Tehditler Worm Worm.Win32.Stuxnet
Bulunma tarihi 07/15/2010
Sınıf Worm
Platform Win32
Açıklama

Sürücüyü kullanma: 

 % System% driversmrxnet.sys

Kök seti, aşağıdaki dosya sistemi düzenlemelerine bir sürücü filtresi olarak bağlanır: 




FileSystemntfs



FileSystemfastfat



FileSystemcdfs

ve böylece virüslü bilgisayarın dosya sisteminin kontrolünü elde eder. Kök seti, dosyaları şu şekilde isimleriyle gizler: 

 ~ WTR <RND> .Tmp

<rnd> rasgele dört haneli bir sayıdır, örneğin: 

 ~ WTR4132.tmp



~ WTR4141.tmp

Ayrıca dosyaları LNK uzantısı ve 4171 bayta eşit bir dosya boyutu ile gizler. Rootkit dosyasının Realtek Semiconductor Corp dijital imzası vardır. Aşağıdaki dizeyi içerir: 




b: myrtussrcobjfre_w2k_x86i386guava.pdb

Sürücüyü kullanma: 

 % System% driversmrxcls.sys

Kötü amaçlı program, kötü amaçlı kodu kullanıcı kipinin işlemlerine enjekte eder. Bunu yapmak için, aşağıdaki sistem işlemlerine bir DLL dinamik kitaplığı yükler: 




svchost.exe



Services.exe



lsass.exe

Bundan sonra, modül listelerinde bu gibi isimler içeren kütüphaneler bulunur: 




kernel32.dll.aslr. <RND>



shell32.dll.aslr. <RND>

Burada rastgele bir onaltılık sayıdır. Enjekte edilen kod dosyada bulunur: 

 % WinDir% infoem7A.PNF

şifrelenmiş biçimde.

Enjekte edilen kod, kötü amaçlı programın ana işlevlerini içerir. Bu içerir:

  • Çıkarılabilir ortam üzerinden yayılım.
  • Siemens Step7 sisteminin çalışması için izleme. Bunu yapmak için, rootkit sürücüsü, aşağıdaki API işlevlerinin çalışmasını öykünen orijinal s7otbxsx.dll yerine, s7tgtopx.exe işlemine aracı kitaplığı enjekte eder: 
    


s7_event



s7ag_bub_cycl_read_create



s7ag_bub_read_var



s7ag_bub_write_var



s7ag_link_in



s7ag_read_szl



s7ag_test



s7blk_delete



s7blk_findfirst



s7blk_findnext



s7blk_read



s7blk_write



s7db_close



s7db_open



s7ag_bub_read_var_seg



s7ag_bub_write_var_seg

    Sistemin nasıl çalıştığı hakkında çeşitli bilgiler toplar.

  • SQL isteklerinin yürütülmesi. Kötü amaçlı yazılım yerel ağdaki bilgisayarların bir listesini alır ve bunların herhangi birinin şu anda Microsoft Visual Studio'nun WinCC işlem görselleştirme sistemine hizmet veren SQL Server'ı çalıştırıp çalıştırmadığını kontrol eder. Sunucu algılanırsa, kötü amaçlı yazılım, veritabanına kullanıcı adı ve parola WinCCConnect / 2WSXcder (CVE-2010-2772) ile bağlanmayı dener, daha sonra aşağıdaki gibi tablolar hakkında bilgi almaya çalışır: 
    


MCPTPROJECT



MCPTVARIABLEDESC



MCPVREADVARPERCON
  • Aşağıdaki uzantılara sahip dosyalardan bilgi toplar: 
    


* .S7P



* .MCP



* .LDF

    Bunlar Siemens Step7 sistemi ile oluşturulur. Bilgisayarın sabit diskinin tamamı için dosya araması gerçekleştirilir.

  • Toplanan bilgileri Internet üzerinden kötü niyetli kullanıcının sunucusuna şifrelenmiş biçimde gönderir.

Orijinaline link
© 2019 AO Kaspersky Lab. All Rights Reserved.
Gizlilik Politikası

Yukarı