製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
Stuxnet
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
6045
対応定義ファイル
(現在必要とされるバージョン)
6180 (現在7537)
対応エンジン5.4.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日2010/07/23
発見日(米国日付)2010/07/16
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/20RDN/Download...
08/20W32/Agent!55...
08/20W32/Agent!09...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7537
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・StuxnetはWinCC SCADAを稼働させているシステムをターゲットにしたトロイの木馬です。特別に仕組まれた.lnkを利用した任意のコード実行を許すCVE-2010-2568を利用して広がります。

・リムーバブルUSBドライブを介して拡散することが知られています。

ウイルスの特徴TOPに戻る

・Stuxnetは、~WTR4132.tmpという名前のdllを含み、これがメインのドロッパーとして機能します。

・Stuxnetは、~WTR4132.tmpがフィルタドライバをドロップし、これをインストールして、さらにシステムプロセスに挿入されるファイルをドロップすることで、リモートホストに接続します。

・はじめは悪質な.lnkファイルが含まれたUSBドライブを介して感染します。.lnkファイルはdllファイル~WTR4141.tmp(「Realtek Semiconductor Corp」と表示)を指しており、これがメインのドロッパー~WTR4132.tmpをUSBドライブからロードします。

・さらに、このローダーには以下の機能をおとりにした.tmpファイル、.lnkファイルが隠されています。

  • FindFirstFileW
  • FindNextFileW
  • FindFirstFileExW
  • NtQueryDirectoryFile
  • ZwQueryDirectoryFile

・実行時、~WTR4132.tmpは以下のファイルを作成します。

  • %System%\drivers\mrxcls.sys
  • %System%\drivers\mrxnet.sys

・上記のドライバは実行コードのファイルを隠し、プログラムを起動します。

・以下のような複数の.pnfファイルを作成します。

  • %Windir%\inf\mdmcpq3.PNF
  • %Windir%\inf\mdmeric3.PNF
  • %Windir%\inf\oem6C.PNF
  • %Windir%\inf\oem7A.PNF

・上記ファイルが復号され、実行プロセスに挿入されます。(McAfeeのシステムでは、lsass.exe、svchost.exe、services.exeへの挿入を確認)

・サービス登録用として、以下のレジストリキーを作成します。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls
    • Description: "MRXCLS"
    • DisplayName: "MRXCLS"
    • ErrorControl: 0x00000000
    • Group: "Network"
    • ImagePath: "%system%\Drivers\mrxcls.sys"
    • Start: 0x00000001
    • Type: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls\Enum
    • 0: "Root\LEGACY_MRXCLS\0000"
    • Count: 0x00000001
    • NextInstance: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet
    • Description: "MRXNET"
    • DisplayName: "MRXNET"
    • ErrorControl: 0x00000000
    • Group: "Network"
    • ImagePath: "%system%\Drivers\mrxnet.sys"
    • Start: 0x00000001
    • Type: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet\Enum
    • 0: "Root\LEGACY_MRXNET\0000"
    • Count: 0x00000001
    • NextInstance: 0x00000001

・上記以外に、以下のようなファイルが確認される場合もあります。

・s7otbxsx.dll - 合法的なSiemensのファイルを包み込むファイルです。正しい機能呼び出しの命令に割り込みます。s7otbxsx.dllは、コントロールを自身に呼び込んでから、オリジナルの機能を呼び出すDLLファイルに戻します。

・以下のようなネットワーク接続を確立します。

  • windowsupdate.com
  • mypremierfutbol.com
  • msn.com
  • todaysfutbol.com

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記のファイルおよびレジストリキーが存在します。

感染方法TOPへ戻る

・はじめはCVE-2010-2568を実行する悪質な.lnkファイルが含まれたUSBドライブを介して感染します。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足