Уязвимые системы
Microsoft Windows XP SP2/SP3
Microsoft Windows 2003 SP2
Microsoft Windows Vista SP1/SP2
Microsoft Windows 2008 SP0/SP2
Microsoft Windows 7
Windows Server 2008 R2 for x64-based Systems
В настоящий момент антивирусы распознают червя следующим образом:
Symantec: W32.Temphid
Kaspersky: Rootkit.Win32.Stuxnet.a
Bitdefender: Rootkit.Stuxnet.A
Avast: Win32:Stuxnet-B
Microsoft: Trojan:WinNT/Stuxnet.A
AVG: Rootkit-Pakes.AG
Eset: Win32/Stuxnet.A
DrWeb: Trojan.Stuxnet.1
Norman: W32/Stuxnet.D
Основной метод распространения – USB носители.
Уязвимость заключается в ошибке при обработке ярлыков (.lnk и .pif файлов). Червь распространяется через инфицированные USB устройства. Заражение происходит, когда пользователь открывает диск автоматически с помощью функционала автозапуска, либо при открытии диска непосредственно в Windows Explorer или аналогичном менеджере файлов. Специально сформированный ярлык заставляет Windows Shell подгрузить внешнюю динамическую библиотеку, которая выполняет произвольный код с привилегиями пользователя, запустившего Windows Explorer.
Текущий вариант червя осуществляет следующие действия на системе:
1. Червь копирует себя в файлы:
%System%\drivers\mrxcls.sys
%System%\drivers\mrxnet.sys
Некоторые образцы имеют цифровую подпись Realtek Semiconductor Corporation.
2. Регистрирует себя (mrxcls.sys) в качестве службы под названим MRXCLS.
3. Создает ключ в реестре
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\MRxCls\"ImagePath" = "%System%\drivers\mrxcls.sys"
4. Регистрирует файл mrxnet.sys в качестве службы под названием MRXNET
5. Создает ключ в реестре
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\MRxNet\"ImagePath" = "%System%\drivers\mrxnet.sys"
6. Скрывает файлы под именами:
%DriveLetter%\~WTR[FOUR NUMBERS].tmp
После успешного запуска червь завершает работу служб, содержащих следующие имена:
vp.exe
Mcshield.exe
avguard.exe
bdagent.exe
UmxCfg.exe
fsdfwd.exe,
rtvscan.exe
ccSvcHst.exe
ekrn.exe
tmpproxy.exe
Червь собирает информацию о сетевых настройках и серверах в локальной сети. Может подключаться к следующим адресам:
ww.windowsupdate.com
www.msn.com
www.mypremierfutbol.com
www.todaysfutbol.com
Червь распространяется путем создания файлов:
%DriveLetter%\~WTR4132.tmp
%DriveLetter%\~WTR4141.tmp
%DriveLetter%\Copy of Shortcut to.lnk
%DriveLetter%\Copy of Copy of Shortcut to.lnk
%DriveLetter%\Copy of Copy of Copy of Shortcut to.lnk
%DriveLetter%\Copy of Copy of Copy of Copy of Shortcut to.lnk
Древовидный вид