・Stuxnetは、~WTR4132.tmpという名前のdllを含み、これがメインのドロッパーとして機能します。
・Stuxnetは、~WTR4132.tmpがフィルタドライバをドロップし、これをインストールして、さらにシステムプロセスに挿入されるファイルをドロップすることで、リモートホストに接続します。
・はじめは悪質な.lnkファイルが含まれたUSBドライブを介して感染します。.lnkファイルはdllファイル~WTR4141.tmp(「Realtek Semiconductor Corp」と表示)を指しており、これがメインのドロッパー~WTR4132.tmpをUSBドライブからロードします。
・さらに、このローダーには以下の機能をおとりにした.tmpファイル、.lnkファイルが隠されています。
- FindFirstFileW
- FindNextFileW
- FindFirstFileExW
- NtQueryDirectoryFile
- ZwQueryDirectoryFile
・実行時、~WTR4132.tmpは以下のファイルを作成します。
- %System%\drivers\mrxcls.sys
- %System%\drivers\mrxnet.sys
・上記のドライバは実行コードのファイルを隠し、プログラムを起動します。
・以下のような複数の.pnfファイルを作成します。
- %Windir%\inf\mdmcpq3.PNF
- %Windir%\inf\mdmeric3.PNF
- %Windir%\inf\oem6C.PNF
- %Windir%\inf\oem7A.PNF
・上記ファイルが復号され、実行プロセスに挿入されます。(McAfeeのシステムでは、lsass.exe、svchost.exe、services.exeへの挿入を確認)
・サービス登録用として、以下のレジストリキーを作成します。
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls
- Description: "MRXCLS"
- DisplayName: "MRXCLS"
- ErrorControl: 0x00000000
- Group: "Network"
- ImagePath: "%system%\Drivers\mrxcls.sys"
- Start: 0x00000001
- Type: 0x00000001
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls\Enum
- 0: "Root\LEGACY_MRXCLS\0000"
- Count: 0x00000001
- NextInstance: 0x00000001
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet
- Description: "MRXNET"
- DisplayName: "MRXNET"
- ErrorControl: 0x00000000
- Group: "Network"
- ImagePath: "%system%\Drivers\mrxnet.sys"
- Start: 0x00000001
- Type: 0x00000001
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet\Enum
- 0: "Root\LEGACY_MRXNET\0000"
- Count: 0x00000001
- NextInstance: 0x00000001
・上記以外に、以下のようなファイルが確認される場合もあります。
・s7otbxsx.dll - 合法的なSiemensのファイルを包み込むファイルです。正しい機能呼び出しの命令に割り込みます。s7otbxsx.dllは、コントロールを自身に呼び込んでから、オリジナルの機能を呼び出すDLLファイルに戻します。
・以下のようなネットワーク接続を確立します。
- windowsupdate.com
- mypremierfutbol.com
- msn.com
- todaysfutbol.com
