Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Stuxnet.A

PeligrosidadPeligrosidad baja
DañoDañino
PropagaciónPoco extendido

De un vistazo

Nombre común:Stuxnet.A
Nombre técnico:W32/Stuxnet.A.worm
Peligrosidad:Media
Tipo:Gusano
Efectos:  

Realiza un ataque dirigido a empresas con sistemas SCADA que utilicen WINCC de Siemens, con el objetivo de recopilar información. Aprovecha la vulnerabilidad de Windows MS10-046 (CVE-2010-2568), que afecta a los accesos directos, para instalarse en el ordenador. Se propaga a través de dispositivos extraíbles, como llaves USB.

Plataformas que infecta:

Windows 2003/XP/2000/NT/ME/98/95; IIS

Fecha de detección:16/07/2010
Detección actualizada:31/08/2010
EstadísticasNo

Descripción Breve 

    

Stuxnet.A es un gusano con características de rootkit que aprovecha la vulnerabilidad de Windows MS10-046 (CVE-2010-2568) para instalarse en el ordenador. Se trata de una vulnerabilidad que afecta a los accesos directos y que permite ejecutar código remoto.

Está diseñado para realizar un ataque dirigido a empresas con sistemas SCADA que utilicen WINCC de Siemens, con el objetivo de recopilar información.

Debido a sus características de rootkit permanece oculto en el ordenador, lo que dificulta su detección.

Stuxnet.A llega al ordenador a través de dispositivos extraíbles, como llaves USB, en varios accesos directos especialmente diseñados que apuntan a la descarga del archivo que inicia la infección.

 

Nota: Microsoft ya ha publicado el parche de seguridad que resuelve esta vulnerabilidad. Si su ordenador tiene instalado Windows 2008/7/Vista/2003/XP, acceda a la página web con de descarga de este parche.

Síntomas Visibles

    

Stuxnet.A es difícil de reconocer a simple vista, ya que no muestra mensajes o avisos que alerten sobre su presencia.

Un dispositivo USB está infectado si contiene los siguientes archivos, que corresponden a enlaces directos especialmente diseñados para explotar la vulnerabilidad:

Copy of Copy of Copy of Copy of Shortcut to.lnk
Copy of Copy of Copy of Shortcut to.lnk
Copy of Copy of Shortcut to.lnk
Copy of Shortcut to.lnk

>

Detalles técnicos

Efectos

El objetivo de Stuxnet.A es llevar a cabo un ataque dirigido a empresas con sistemas SCADA (ver Nota) que utilicen WINCC de Siemens, con el objetivo de recopilar información.

Para instalarse en el ordenador, aprovecha la vulnerabilidad MS10-046 (CVE-2010-2568). Se trata de una vulnerabilidad de Windows que afecta a los accesos directos y que permite ejecutar código remoto.

Stuxnet.A realiza las siguientes acciones:

  • La infección se inicia con varios accesos directos especialmente diseñados para explotar la vulnerabilidad ubicados en un dispositivo USB infectado.
  • Los accesos directos maliciosos son los siguientes:
    Copy of Copy of Copy of Copy of Shortcut to.lnk
    Copy of Copy of Copy of Shortcut to.lnk
    Copy of Copy of Shortcut to.lnk
    Copy of Shortcut to.lnk
  • Si el ordenador es vulnerable, se descarga y ejecuta automáticamente la librería ~WTR4141.TMP, sin tener que pulsar sobre el acceso directo, ya que dicha vulnerabilidad permite ejecutar código remoto.
  • Esta librería se encarga de cargar y ejecutar otra librería, denominada ~WTR4132.TMP, que suelta varios rootkits en el ordenador. Estos rootkits permiten ocultar al gusano y así dificultar su detección.

 

Microsoft ya ha publicado el parche de seguridad que resuelve esta vulnerabilidad. Si su ordenador tiene instalado Windows 2008/7/Vista/2003/XP, acceda a la página web con de descarga de este parche.

 

Nota: SCADA es una aplicación de software especialmente diseñada para funcionar sobre ordenadores en el control de producción, proporcionando comunicación con los dispositivos de campo y controlando el proceso de forma automática desde la pantalla del ordenador.

Metodo de Infección

Stuxnet.A crea los siguientes archivos:

  • MRXCLS.SYS y MRXNET.SYS, en la carpeta drivers del directorio de sistema de Windows. Estos archivos corresponden al malware detectado como Rootkit/TmpHider. Estos archivos tienen las firmas digitales, supuestamente robadas, de ciertas empresas. El objetivo no es otro que hacerse pasar por archivos legítimos.
  • MDMCPQ3.PNF, MDMERIC3.PNF, OEM6C.PNF y OEM7A.PNF, en la carpeta Inf del directorio de Windows. Los archivos con extensión PNF son archivos de datos encriptados.

 

Stuxnet.A crea las siguientes entradas en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXCLS
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXCLS\0000
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXCLS\0000\Control
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXNET
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXNET\0000
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXNET\0000\Control
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls\Enum
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet\Enum
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS\0000
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS\0000\Control
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET\0000
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET\0000\Control
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls\Enum
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet\Enum
    Mediante estas entradas, los rootkits consiguen registrarse como servicio y ejecutarse en cada arranque del sistema. Además, se inyectan en los procesos LSASS.EXE, SERVICES.EXE, EXPLORER.EXE y SVCHOST.EXE para que no se puedan ver a simple vista.

Método de Propagación

Stuxnet.A se propaga a través de dispositivos extraíbles, como llaves USB, copiando los accesos directos maliciosos en las llaves USB que se conecten a un ordenador infectado. Estos accesos directos se aprovecha de la vulnerabilidad denominada MS10-046 (CVE-2010-2568), que afecta a los archivos con extensión LNK.

Otros Detalles

Stuxnet.A tiene un tamaño de 8192 Bytes.

Además, Stuxnet.A crea varios mutex aleatorios, para asegurarse de que únicamente haya una copia de sí mismo ejecutándose en cada momento.

>

Solución

Ver solución