en

‫ راهنما و ابزار رفع بدافزار Stuxnet

IRCAD201007668
 
شماره: IRCAD201007668
1-      خلاصه اي از كد آسيب رسان
2-      شرح مختصر
3-      علائم آلودگي به اين بدافزار 
4-       اطلاعات فني كد اسيب رسان
5-       شرح عملكرد
6-       روش هاي جلو گيري از آلوده شدن سيستم به اين تراوا
7-       طريقه پاكسازي سيستم
8-        ابزار رفع بدافزار زيمنس
9-        منابع
 
1.       خلاصه اي از كد آسيب رسان:
نام كد آسيب رسان: cc1db5360109de3b857654297d262ca1
انواع Hash هاي ديگر شناخته شده مربوط به اين بدافزار
·           9CD03CB160D20B686A0CE7AD2048C52A
·           B834EBEB777EA07FB6AAB6BF35CDF07F
·           AC64C5A7ED0D8C6C3A10FE584F2DCF90
·           AD19FBAA55E8AD585A97BBCDDCDE59D4
·           F8153747BAE8B4AE48837EE17172151E
·           A2FEB4862A0E30E7AC1EF34505ACD356
گونه كد آسيب رسان: تراوا
Exploit مورد استفاده: zero-day exploit
بستر اجرايي كد آسيب رسان:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP

نام هاي ديگر:
·           Malware.Stuxnet [PCTools]
·           W32.Stuxnet [Symantec]
·           Trojan-Dropper.Win32.Stuxnet.e [Kaspersky Lab]
·           Stuxnet [McAfee]
·           Troj/Stuxnet-A [Sophos]
·           TrojanDropper:Win32/Stuxnet.A [Microsoft]
·           Trojan-Dropper.Win32.Stuxnet [Ikarus]
·           Win-Trojan/Stuxnet.517632.F [AhnLab]
 
2.       شرح مختصر:
اين تراوا اولين بار در تاريخ July 17, 2010 كشف شده است، اين تراوا از از طريق حافظه هاي  جانبي Usb و يا از طريق ايميل هاي آلوده به صورت تكنيك هاي روتكيت خاص ، به صورت مخفيانه وارد سيستم قرباني شده و پس از ايجاد فايلي تقلبي با پسوند’LNK / PI F ‘ شروع به انتشار خود كرده، و به اين طريق وارد تمامي حافظه هاي جانبي و با تزريق خود به Internet Explorer از فايروال سيستم عبور مي كند
 
3.       علائم آالودگي به اين بدافزار:
چنانچه فايل هاي زير در سيستم وجود داشته باشد،
 
%System%\drivers\mrxcls.sys
%System%\drivers\mrxnet.sys
 
و همچنين در صورت وجود كليد هاي رجيستري زير:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls\”ImagePath” = “%System%\drivers\mrxcls.sys”
 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MrxNet\”ImagePath” = “%System%\drivers\mrxnet.sys”
 
(فايل هاي ايجاد شده ممكن است با پسوند .Tmp در مسير زير مخفي شده باشند)
%DriveLetter%\~WTR[FOUR NUMBERS].tmp
 
سيستم مذكور آلوده به اين بدافزار مي باشد.
 
4.       اطلاعات فني كد اسيب رسان:
·         نوع فايل: PE
·         Exploit مورد استفاده: zero-day exploit
·         واكنش ابزارهاي تشخيص:
 
File: cc1db5360109de3b857654297d262ca1
Status: INFECTED/MALWARE
MID5: cc1db5360109de3b857654297d262ca1
SHA-1: 758240613c362bb1fd13e07d3d19f357b7f8a6da
Size:   17400 bytes
جدول ذيل نشان مي دهد كه 90 درصد آنتي ويروس هاي زير قادر به شناسايي اين بدافزار شده اند.
Scanner results
Antivirus
Version
Last Update
Result
AhnLab-V3
2010.07.24.01
2010.07.23
Win-Trojan/Stuxnet.17400
AntiVir
8.2.4.26
2010.07.23
RKIT/Stuxnet.A
Antiy-AVL
2.0.3.7
2010.07.23
-
Authentium
5.2.0.5
2010.07.24
W32/Stuxnet.B
Avast
4.8.1351.0
2010.07.24
Win32:Stuxnet
Avast5
5.0.332.0
2010.07.24
Win32:Stuxnet
AVG
9.0.0.851
2010.07.24
Rootkit-Pakes.AF
BitDefender
7.2
2010.07.24
Rootkit.Stuxnet.A
CAT-QuickHeal
11.00
2010.07.24
Rootkit.Stuxnet.b
ClamAV
0.96.0.3-git
2010.07.24
Trojan.Rootkit.Stuxnet-1
Comodo
5525
2010.07.24
TrojWare.Win32.Rootkit.Stuxnet.a
DrWeb
5.0.2.03300
2010.07.24
Trojan.Stuxnet.1
Emsisoft
5.0.0.34
2010.07.24
Rootkit.Win32.Stuxnet.b!A2
eSafe
7.0.17.0
2010.07.22
Win32.Temphid
eTrust-Vet
36.1.7734
2010.07.24
Win32/Stuxnet.A
F-Prot
4.6.1.107
2010.07.24
W32/Stuxnet.B
F-Secure
9.0.15370.0
2010.07.24
Rootkit:W32/Stuxnet.B
Fortinet
4.1.143.0
2010.07.24
W32/Stuxnet.B!tr.rkit
Gdata
21
2010.07.24
Rootkit.Stuxnet.A
Ikarus
T3.1.1.84.0
2010.07.24
-
Jiangmin
13.0.900
2010.07.24
Rootkit.Stuxnet.c
Kaspersky
7.0.0.125
2010.07.24
Rootkit.Win32.Stuxnet.b
McAfee
5.400.0.1158

The Wall

No comments
You need to sign in to comment