راهنما و ابزار رفع بدافزار Stuxnet

1. خلاصه ای از کد آسیب رسان:

نام کد آسیب رسان:
cc1db5360109de3b857654297d262ca1

انواع
Hash های دیگر شناخته شده مربوط به این بدافزار

9
CD03CB160D20B686A0CE7AD2048C52A

B834EBEB777EA07FB6AAB6BF35CDF07F

AC64C5A7ED0D8C6C3A10FE584F2DCF90

AD19FBAA55E8AD585A97BBCDDCDE59D4

F8153747BAE8B4AE48837EE17172151E

A2FEB4862A0E30E7AC1EF34505ACD356

گونه کد آسیب رسان: تروجان

Exploit مورد استفاده: zero-day exploit

بستر اجرایی کد آسیب رسان:

Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
نام های دیگر :

Malware.Stuxnet [PCTools]

W32.Stuxnet [Symantec]

Trojan-Dropper.Win32.Stuxnet.e [Kaspersky Lab]

Stuxnet [McAfee]

Troj/Stuxnet-A [Sophos]

TrojanDropper:Win32/Stuxnet.A [Microsoft]

Trojan-Dropper.Win32.Stuxnet [Ikarus]

Win-Trojan/Stuxnet.517632.F [AhnLab]
2. شرح مختصر :

این تروجان اولین بار در تاریخ
July 17, 2010 کشف شده است، این تروجان از از طریق حافظه های جانبی Usb و یا از طریق ایمیل های آلوده به صورت تکنیک های روتکیت خاص ، به صورت مخفیانه وارد سیستم قربانی شده و پس از ایجاد فایلی تقلبی با پسوند’LNK / PI F ‘ شروع به انتشار خود کرده، و به این طریق وارد تمامی حافظه های جانبی و با تزریق خود به Internet Explorer از فایروال سیستم عبور می کند
3. علائم آلودگی به این بدافزار :

چنانچه فایل های زیر در سیستم وجود داشته باشد،
%
System%driversmrxcls.sys

%
System%driversmrxnet.sys
و همچنین در صورت وجود کلید های رجیستری زیر:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxCls”ImagePath” = “%System%driversmrxcls.sys
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMrxNet”ImagePath” = “%System%driversmrxnet.sys
(فایل های ایجاد شده ممکن است با پسوند .
Tmp در مسیر زیر مخفی شده باشند)

%
DriveLetter%~WTR[FOUR NUMBERS].tmp
سیستم مذکور آلوده به این بدافزار می باشد.
4. اطلاعات فنی کد اسیب رسان:

نوع فایل:
PE

Exploit مورد استفاده: zero-day exploit

واکنش ابزارهای تشخیص:

File: cc1db5360109de3b857654297d262ca1

Status: INFECTED/MALWARE

MID5: cc1db5360109de3b857654297d262ca1

SHA-1: 758240613c362bb1fd13e07d3d19f357b7f8a6da

Size: 17400 bytes

جدول ذیل نشان می دهد که 90 درصد آنتی ویروس های زیر قادر به شناسایی این بدافزار شده اند.

Scanner results

Antivirus

Version

Last Update

Result

AhnLab-V3

2010.07.24.01

2010.07.23

Win-Trojan/Stuxnet.17400

AntiVir

8.2.4.26

2010.07.23

RKIT/Stuxnet.A

Antiy-AVL

2.0.3.7

2010.07.23

-

Authentium

5.2.0.5

2010.07.24

W32/Stuxnet.B

Avast

4.8.1351.0

2010.07.24

Win32:Stuxnet

Avast5

5.0.332.0

2010.07.24

Win32:Stuxnet

AVG

9.0.0.851

2010.07.24

Rootkit-Pakes.AF

BitDefender

7.2

/ 0 نظر / 4 بازدید