venerdì 23 luglio 2010

Win32 / Stuxnet.A







Pubblicato per la prima volta in data 17 luglio 2010.

Alias:

TrojanDropper: Win32/Stuxnet.A è anche conosciuto come VirTool: WinNT / Rootkitdrv.HK (altri), Cavallo di Troia SHeur3.XLI (AVG), Sus / UnkPack-C (Sophos), Rootkit.TmpHider (altre).

Spiegazione:

TrojanDropper: Win32/Stuxnet.A è un trojan che installa piccoli componenti Stuxnet rilevati come Trojan: WinNT / Stuxnet.A e Trojan: WinNT / Stuxnet.B. Si inserisce anche il codice in alcuni processi. Il codice iniettato contiene link a siti web di scommesse calcistiche.
Top


TrojanDropper: Win32/Stuxnet.A è un trojan che installa gocce e altri componenti Stuxnet rilevato come Trojan: WinNT / Stuxnet.A e Trojan: WinNT / Stuxnet.B. eseguire InstallationWhen, questo trojan crea un mutex nome casuale, come "FJKIKK" o "FJGIJK". Il trojan apre anche o ne crea uno o più dei seguenti mutex: @ ssd 


Global \ Spooler_Perf_Library_Lock_PID_01F
Global \ (4A9A9FA4-5.292-4.607-B3CB-EE6A87A008A3)
Global \ (5EC171BB-F130-4a19-B782-B6E655E091B2)
Global \ (85522152-83BF-41f9-B17D-324B4DFC7CC3)
Global \ (B2FAC8DC-557D-85D6-43 CE-066B4FBC05AC)
Global \ (CAA6BD26-6C7B-4af0-95E2-53DE46FDDF26)
Global \ (E41362C3-F75C-4ec2-AF49-3CB6BCA591CA) 




Payload Installa trojan dropper Stuxnet componentsThe installa anche i componenti Stuxnet seguenti: folder e gt; mrxnet.sys \ - Trojan: WinNT / Stuxnet.B Il trojan dropper crea le seguenti sottochiavi del Registro con valori associati per eseguire la caduta componenti del servizio:


HKLM \ SYSTEM \ CurrentControlSet \ Services MRxCls \
HKLM \ SYSTEM \ CurrentControlSet \ Services \ MRxNet TrojanDropper: Win32/Stuxnet.A crea i seguenti file di dati crittografati: 



C: \ Windows \ inf \ mdmcpq3.pnf C: \ Windows \ inf \ mdmeric3.pnf C: \ Windows \ inf \ oem6c.pnf C: \ Windows \ inf \ oem7a.pnf codeTrojanDropper Inietta: Win32/Stuxnet.A 


può iniettare codice nei seguenti processi: svchost.exe lsass.exe services.exe 
Il codice inserito contiene i link ai seguenti siti relativi al calcio scommesse:

www.mypremierfutbol.com


Il www.todaysfutbol.com creato. pnf vengono decifrati e caricati dal codice inserito.

Analisi di Andrei McCormack Matt e Florin Saygo



Fonte: Securityhome.eu

Nessun commento:

Posta un commento

Related Posts Plugin for WordPress, Blogger...