فا

‫ راهنما و ابزار رفع بدافزار Stuxnet

IRCAD201007668
شماره: IRCAD201007668
1- خلاصه اي از كد آسيب رسان
2- شرح مختصر
3- علائم آلودگي به اين بدافزار
4- اطلاعات فني كد اسيب رسان
5- شرح عملكرد
6- روش هاي جلو گيري از آلوده شدن سيستم به اين تراوا
7- طريقه پاكسازي سيستم
8- ابزار رفع بدافزار زيمنس
9- منابع
1. خلاصه اي از كد آسيب رسان:
نام كد آسيب رسان: cc1db5360109de3b857654297d262ca1
انواع Hash هاي ديگر شناخته شده مربوط به اين بدافزار
· 9CD03CB160D20B686A0CE7AD2048C52A
· B834EBEB777EA07FB6AAB6BF35CDF07F
· AC64C5A7ED0D8C6C3A10FE584F2DCF90
· AD19FBAA55E8AD585A97BBCDDCDE59D4
· F8153747BAE8B4AE48837EE17172151E
· A2FEB4862A0E30E7AC1EF34505ACD356
گونه كد آسيب رسان: تراوا
Exploit مورد استفاده: zero-day exploit
بستر اجرايي كد آسيب رسان:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP

نام هاي ديگر:
· Malware.Stuxnet [PCTools]
· W32.Stuxnet [Symantec]
· Trojan-Dropper.Win32.Stuxnet.e [Kaspersky Lab]
· Stuxnet [McAfee]
· Troj/Stuxnet-A [Sophos]
· TrojanDropper:Win32/Stuxnet.A [Microsoft]
· Trojan-Dropper.Win32.Stuxnet [Ikarus]
· Win-Trojan/Stuxnet.517632.F [AhnLab]
2. شرح مختصر:
اين تراوا اولين بار در تاريخ July 17, 2010 كشف شده است، اين تراوا از از طريق حافظه هاي جانبي Usb و يا از طريق ايميل هاي آلوده به صورت تكنيك هاي روتكيت خاص ، به صورت مخفيانه وارد سيستم قرباني شده و پس از ايجاد فايلي تقلبي با پسوند’LNK / PI F ‘ شروع به انتشار خود كرده، و به اين طريق وارد تمامي حافظه هاي جانبي و با تزريق خود به Internet Explorer از فايروال سيستم عبور مي كند
3. علائم آالودگي به اين بدافزار:
چنانچه فايل هاي زير در سيستم وجود داشته باشد،
%System%\drivers\mrxcls.sys
%System%\drivers\mrxnet.sys
و همچنين در صورت وجود كليد هاي رجيستري زير:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls\”ImagePath” = “%System%\drivers\mrxcls.sys”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MrxNet\”ImagePath” = “%System%\drivers\mrxnet.sys”
(فايل هاي ايجاد شده ممكن است با پسوند .Tmp در مسير زير مخفي شده باشند)
%DriveLetter%\~WTR[FOUR NUMBERS].tmp
سيستم مذكور آلوده به اين بدافزار مي باشد.
4. اطلاعات فني كد اسيب رسان:
· نوع فايل: PE
· Exploit مورد استفاده: zero-day exploit
· واكنش ابزارهاي تشخيص:
File: cc1db5360109de3b857654297d262ca1
Status: INFECTED/MALWARE
MID5: cc1db5360109de3b857654297d262ca1
SHA-1: 758240613c362bb1fd13e07d3d19f357b7f8a6da
Size: 17400 bytes
جدول ذيل نشان مي دهد كه 90 درصد آنتي ويروس هاي زير قادر به شناسايي اين بدافزار شده اند.
Scanner results
Antivirus
Version
Last Update
Result
AhnLab-V3
2010.07.24.01
2010.07.23
Win-Trojan/Stuxnet.17400
AntiVir
8.2.4.26
2010.07.23
RKIT/Stuxnet.A
Antiy-AVL
2.0.3.7
2010.07.23
-
Authentium
5.2.0.5
2010.07.24
W32/Stuxnet.B
Avast
4.8.1351.0
2010.07.24
Win32:Stuxnet
Avast5
5.0.332.0
2010.07.24
Win32:Stuxnet
AVG
9.0.0.851
2010.07.24
Rootkit-Pakes.AF
BitDefender
7.2
2010.07.24
Rootkit.Stuxnet.A
CAT-QuickHeal
11.00
2010.07.24
Rootkit.Stuxnet.b
ClamAV
0.96.0.3-git
2010.07.24
Trojan.Rootkit.Stuxnet-1
Comodo
5525
2010.07.24
TrojWare.Win32.Rootkit.Stuxnet.a
DrWeb
5.0.2.03300
2010.07.24
Trojan.Stuxnet.1
Emsisoft
5.0.0.34
2010.07.24
Rootkit.Win32.Stuxnet.b!A2
eSafe
7.0.17.0
2010.07.22
Win32.Temphid
eTrust-Vet
36.1.7734
2010.07.24
Win32/Stuxnet.A
F-Prot
4.6.1.107
2010.07.24
W32/Stuxnet.B
F-Secure
9.0.15370.0
2010.07.24
Rootkit:W32/Stuxnet.B
Fortinet
4.1.143.0
2010.07.24
W32/Stuxnet.B!tr.rkit
Gdata
21
2010.07.24
Rootkit.Stuxnet.A
Ikarus
T3.1.1.84.0
2010.07.24
-
Jiangmin
13.0.900
2010.07.24
Rootkit.Stuxnet.c
Kaspersky
7.0.0.125
2010.07.24
Rootkit.Win32.Stuxnet.b
McAfee
5.400.0.1158

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 25 بهمن 1390

امتیاز

امتیاز شما
تعداد امتیازها: 0