Resumen de las Principales caracteristicas del STUXNET:

 

Rootkit STUXNET (Autoejecución por .LNK en pendrives)

Troyano backdoor con tecnicas Rootkit que infecta por visualizacion de icono de ficheros .LNK especialmente diseñados (ZERO-DAY actual de Windows)

Sus controladores estan firmados digitalmente por Realtek

Crea puerta trasera con procesos protegidos por RootKit

Alias:

W32.Temphid (Symantec),Rootkit.Win32.Stuxnet.a (Kaspersky), RTKT_STUXNET.A (TrendMicro),Win32/Stuxnet.A (Eset), Rootkit.Stuxnet.A (F-Secure), W32 /Stuxnet-B(Sophos), Rootkit.Stuxnet.A (BitDefender)

Al ejecutarse crea las siguientes copias de sí mismo y se agrega como servicios con nombres de MRXCLS y MRXNET :
%System%\drivers\mrxcls.sys
(Trojan:WinNT/Stuxnet.A)

%System%\drivers\mrxnet.sys
(Trojan:WinNT/Stuxnet.B)

Crea las siguientes claves del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\MRxCls\ “ImagePath”=”%System%\
drivers\mrxcls.sys”

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\MRxNet\ “ImagePath”=”%System%\
drivers\mrxnet.sys”

Oculta los archivos eliminados mediante la modificación de los archivos
FindFirstFileW
FindNextFileW
FindFirstFileExW
NtQueryDirectoryFile
ZwQueryDirectoryFile

Crea los siguientes archivos de datos cifrados en C:\Windows\inf\
mdmcpq3.PNF, mdmeric3.pnf, oem6c.pnf, oem7a.pnf

Se inyecta en el proceso de iexplorer para eludir los firewalls.
Detiene los siguientes procesos de los antivirus mas conocidos:
VP.exe,Mcshield.exe,AvGuard.exe,bdagent.exe,
UmxCfg.exe,fsdfwd.exe,rtvscan.exe,ccSvcHst.exe,
ekrn.exe,tmpproxy.exe

Accede a los siguientes hosts remotos:
www.windowsupdate.com
www.es.MSN.com
www.mypremierfutbol.com
todaysfutbol.com

Se propaga por copias de sí mismo a unidades extraíbles, con  los siguientes nombres de archivos:
%DriveLetter%\~WTR4132.tmp
%DriveLetter%\~WTR4141.tmp
%DriveLetter%\Copy de to.lnk de acceso directo
%DriveLetter%\Copy de to.lnk de copiar de acceso directo
%DriveLetter%\Copy de to.lnk de la copia de copiar acceso de directo
%DriveLetter%\Copy de to.lnk de la copia de la copia de copiar acceso de directo

Contramedidas:

Eliminar los archivos y las entradas del registro hechas por el rootkit Stuxnet mencionado anteriormente

Instalar y mantener software antivirus actualizado a nivel de escritorio y gateway

Aplicar parches apropiados, como se menciona en la nota de la vulnerabilidad de CERT (CIVN-2010-169) 

Tener cuidado al abrir los archivos adjuntos y la aceptación de las descargas de archivos.

Tener cuidado al hacer clic en los enlaces a páginas web.

La información proporcionada en el presente documento es la base de “tal cual”, sin garantía de ningún tipo.

Fuente http://www.cert-in.org.in/virus/Stuxnet_Rootkit.htm
__________

Resumen de los medios disponibles contra ello desarrolados por SATINFO:

Nueva version del ELIPEN 2.1 que dispone de la opcion /LNK para proteger contra la infección, segun indicado por Microsoft, si bien entonces no se dispone de la visualizacion de los iconos de los .LNK (ver informe en el blog)

Nueva version del ELISTARA 21.41 que elimina servicios, claves y ficheros  al respecto.

De todas formas se sugiere máxima precaucion especialmente con el uso de pendrives  y de ficheros, links e imágenes recibidos en mails, accesos a webs y navegacion en general.

Como ya hemos ido avisando se trata de un nuevo ZERO DAY (vulnerabilidad de windows aun no parcheada) de la que empezamos a tener noticia a finales de la semana pasada y nos esperamos lo peor… por lo que recomendamos maxima precaución y si hay sospechas del mismo, indicarlo urgentemente.

saludos

ms, 20-7-2010

.

ANEXO DE ULTIMA HORA:

Y parece que hemos recibido muestras de otro troyano que aprovecha el mismo método de propagacion por .LNK en pendrives, el LNK/Autostart.A

Y seguro que no será el último de esta especie ! 🙁

ms.