Author: Christopher Daniel So   
 Modified By:: Karl Dominguez
 PLATFORM:

Windows 2000, XP, Server 2003, Vista 32-bit

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    Worm

  • Destructiveness:
    Yes

  • Encrypted:
    No

  • In the wild::
    Yes

  OVERVIEW

INFECTION CHANNEL: Se propaga v¨ªa redes P2P (de igual a igual), Se propaga v¨ªa unidades extra¨ªbles, Se propaga v¨ªa vulnerabilidades de software

Para obtener una visi¨®n integral del comportamiento de este Worm, consulte el diagrama de amenazas que se muestra a continuaci¨®n.

Aprovecha las vulnerabilidades del software para propagarse a otros equipos de la red.

Oculta archivos, procesos y/o entradas de registro.

  TECHNICAL DETAILS

File size: 513,536 bytes
File type: EXE
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 16 lipca 2010
PAYLOAD: Compromises system security, Hides files and processes, Connects to URLs or IP addresses, Drops files

±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô

Este malware infiltra el/los siguiente(s) archivo(s):

  • %System%\drivers\mrxcls.sys - detected as RTKT_STUXNET.A
  • %System%\drivers\mrxnet.sys - detected as RTKT_STUXNET.A
  • %System%\wbem\mof\sysnullevnt.mof
  • %Windows%\inf\oem6C.PNF
  • %Windows%\inf\oem7A.PNF - encrypted DLL on .stub section
  • %Windows%\inf\mdmcpq3.PNF - encrypted data where URL of server is stored
  • %Windows%\inf\mdmeric3.PNF
  • C:\\WINDOWS\Help\winmic.fts

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

. %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

±Ê°ù´Ç±è²¹²µ²¹³¦¾±¨®²Ô

Este malware infiltra la(s) siguiente(s) copia(s) de s¨ª mismo en todas las unidades extra¨ªbles:

  • {drive letter}:\\Copy of Shortcut to.lnk
  • {drive letter}:\\~WTR4132.tmp
  • {drive letter}:\\~WTR4141.tmp

Aprovecha las vulnerabilidades de software siguientes para propagarse a otros equipos de la red:

  • Microsoft Security Bulletin MS10-061

    This worm exploits this vulnerability in the Windows Shell by calling the StartDocPrinter procedure in order to impersonate the Printer Spooler service to create the file WINSTA.EXE on the Windows system folder of a target machine. It also sends a second file named sysnullevnt.mof and saves it as %System%\wbem\mof. It is automatically registered to the Windows Management Instrumentation then it executes WINSTA.EXE. The said .MOF file also registers an event that deletes its duplicate in the %System%\wbem\mof\good and WINSTA.EXE once the said executable is terminated.

  • Microsoft Security Bulletin MS08-067

    By sending specially crafted RPC requests, this worm can send and execute a copy of itself into a vulnerable system.

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Capacidades de rootkit

Oculta archivos, procesos y/o entradas de registro.

Informaci¨®n sustra¨ªda

Este malware env¨ªa la informaci¨®n recopilada a la siguiente URL a trav¨¦s de HTTP POST:

  • http://www.{BLOCKED}ierfutbol.com/index.php?data={data}

    (Note: {data} is an encrypted hex value that contains the IP address of the machine, computer name, and domain.)

  SOLUTION

Minimum scan engine: 8.900
First VSAPI Pattern File: 7.322.07
First VSAPI Pattern Release Date: 19 lipca 2010
VSAPI OPR PATTERN-VERSION: 7.353.00
VSAPI OPR PATTERN DATE: 31 lipca 2010

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.

Step 2

Elimine los archivos de malware que se han introducido/descargado mediante WORM_STUXNET.A

Step 3

Reiniciar en modo seguro

[ learnMore ]

Step 4

Eliminar esta clave del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
    • MRxCls
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
    • MRxNet

Step 5

Buscar y eliminar estos archivos

[ learnMore ]
Puede que algunos de los archivos del componente est¨¦n ocultos. Aseg¨²rese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opci¨®n "M¨¢s opciones avanzadas" para que el resultado de la b¨²squeda incluya todos los archivos y carpetas ocultos.
  • %Windows%\inf\oem6C.PNF
  • %Windows%\inf\oem7A.PNF
  • %Windows%\inf\mdmcpq3.PNF
  • %Windows%\inf\mdmeric3.PNF
  • C:\WINDOWS\Help\winmic.fts
  • %Simatic Project folder%\XUTILS\listen\xr000000.mdx
  • %Simatic Project folder%\XUTILS\links\s7p00001.dbf
  • %Simatic Project folder%\XUTILS\listen\s7000001.mdx
  • %Simatic Project folder%\hOmSave7\s7hkimdb.dll

Step 6

Reinicie en modo normal y explore el equipo con su producto de live casino online para buscar los archivos identificados como WORM_STUXNET.A En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.

Step 7

Descargar y aplicar este parche de seguridad No utilice estos productos hasta que se hayan instalado los parches adecuados. live casino online recomienda a los usuarios que descarguen los parches cr¨ªticos en cuanto los proveedores los pongan a su disposici¨®n.

  • . For more details, download and extract the package and refer to the tool's incorporated text file.


Did this description help? Tell us how we did.