Resumen de las Principales caracteristicas del STUXNET:
Rootkit STUXNET (Autoejecución por .LNK en pendrives)
Troyano backdoor con tecnicas Rootkit que infecta por visualizacion de icono de ficheros .LNK especialmente diseñados (ZERO-DAY actual de Windows)
Sus controladores estan firmados digitalmente por Realtek
Crea puerta trasera con procesos protegidos por RootKit
Alias:
W32.Temphid (Symantec),Rootkit.Win32.Stuxnet.a (Kaspersky), RTKT_STUXNET.A (TrendMicro),Win32/Stuxnet.A (Eset), Rootkit.Stuxnet.A (F-Secure), W32 /Stuxnet-B(Sophos), Rootkit.Stuxnet.A (BitDefender)
Al ejecutarse crea las siguientes copias de sí mismo y se agrega como servicios con nombres de MRXCLS y MRXNET :
%System%\drivers\mrxcls.sys
(Trojan:WinNT/Stuxnet.A)
%System%\drivers\mrxnet.sys
(Trojan:WinNT/Stuxnet.B)
Crea las siguientes claves del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\MRxCls\ “ImagePath”=”%System%\
drivers\mrxcls.sys”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\MRxNet\ “ImagePath”=”%System%\
drivers\mrxnet.sys”
Oculta los archivos eliminados mediante la modificación de los archivos
FindFirstFileW
FindNextFileW
FindFirstFileExW
NtQueryDirectoryFile
ZwQueryDirectoryFile
Crea los siguientes archivos de datos cifrados en C:\Windows\inf\
mdmcpq3.PNF, mdmeric3.pnf, oem6c.pnf, oem7a.pnf
Se inyecta en el proceso de iexplorer para eludir los firewalls.
Detiene los siguientes procesos de los antivirus mas conocidos:
VP.exe,Mcshield.exe,AvGuard.exe,bdagent.exe,
UmxCfg.exe,fsdfwd.exe,rtvscan.exe,ccSvcHst.exe,
ekrn.exe,tmpproxy.exe
Accede a los siguientes hosts remotos:
www.windowsupdate.com
www.es.MSN.com
www.mypremierfutbol.com
todaysfutbol.com
Se propaga por copias de sí mismo a unidades extraíbles, con los siguientes nombres de archivos:
%DriveLetter%\~WTR4132.tmp
%DriveLetter%\~WTR4141.tmp
%DriveLetter%\Copy de to.lnk de acceso directo
%DriveLetter%\Copy de to.lnk de copiar de acceso directo
%DriveLetter%\Copy de to.lnk de la copia de copiar acceso de directo
%DriveLetter%\Copy de to.lnk de la copia de la copia de copiar acceso de directo
Contramedidas:
Eliminar los archivos y las entradas del registro hechas por el rootkit Stuxnet mencionado anteriormente
Instalar y mantener software antivirus actualizado a nivel de escritorio y gateway
Aplicar parches apropiados, como se menciona en la nota de la vulnerabilidad de CERT (CIVN-2010-169)
Tener cuidado al abrir los archivos adjuntos y la aceptación de las descargas de archivos.
Tener cuidado al hacer clic en los enlaces a páginas web.
La información proporcionada en el presente documento es la base de “tal cual”, sin garantía de ningún tipo.
Fuente http://www.cert-in.org.in/virus/Stuxnet_Rootkit.htm
__________
Resumen de los medios disponibles contra ello desarrolados por SATINFO:
Nueva version del ELIPEN 2.1 que dispone de la opcion /LNK para proteger contra la infección, segun indicado por Microsoft, si bien entonces no se dispone de la visualizacion de los iconos de los .LNK (ver informe en el blog)
Nueva version del ELISTARA 21.41 que elimina servicios, claves y ficheros al respecto.
De todas formas se sugiere máxima precaucion especialmente con el uso de pendrives y de ficheros, links e imágenes recibidos en mails, accesos a webs y navegacion en general.
Como ya hemos ido avisando se trata de un nuevo ZERO DAY (vulnerabilidad de windows aun no parcheada) de la que empezamos a tener noticia a finales de la semana pasada y nos esperamos lo peor… por lo que recomendamos maxima precaución y si hay sospechas del mismo, indicarlo urgentemente.
saludos
ms, 20-7-2010
.
ANEXO DE ULTIMA HORA:
Y parece que hemos recibido muestras de otro troyano que aprovecha el mismo método de propagacion por .LNK en pendrives, el LNK/Autostart.A
Y seguro que no será el último de esta especie ! 🙁
ms.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.