ウイルス情報

ウイルス名 危険度

Stuxnet

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
6045
対応定義ファイル
(現在必要とされるバージョン)
6180 (現在7656)
対応エンジン 5.4.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2010/07/23
発見日(米国日付) 2010/07/16
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・StuxnetはWinCC SCADAを稼働させているシステムをターゲットにしたトロイの木馬です。特別に仕組まれた.lnkを利用した任意のコード実行を許すCVE-2010-2568を利用して広がります。

・リムーバブルUSBドライブを介して拡散することが知られています。

TOPへ戻る

ウイルスの特徴

・Stuxnetは、~WTR4132.tmpという名前のdllを含み、これがメインのドロッパーとして機能します。

・Stuxnetは、~WTR4132.tmpがフィルタドライバをドロップし、これをインストールして、さらにシステムプロセスに挿入されるファイルをドロップすることで、リモートホストに接続します。

・はじめは悪質な.lnkファイルが含まれたUSBドライブを介して感染します。.lnkファイルはdllファイル~WTR4141.tmp(「Realtek Semiconductor Corp」と表示)を指しており、これがメインのドロッパー~WTR4132.tmpをUSBドライブからロードします。

・さらに、このローダーには以下の機能をおとりにした.tmpファイル、.lnkファイルが隠されています。

  • FindFirstFileW
  • FindNextFileW
  • FindFirstFileExW
  • NtQueryDirectoryFile
  • ZwQueryDirectoryFile

・実行時、~WTR4132.tmpは以下のファイルを作成します。

  • %System%\drivers\mrxcls.sys
  • %System%\drivers\mrxnet.sys

・上記のドライバは実行コードのファイルを隠し、プログラムを起動します。

・以下のような複数の.pnfファイルを作成します。

  • %Windir%\inf\mdmcpq3.PNF
  • %Windir%\inf\mdmeric3.PNF
  • %Windir%\inf\oem6C.PNF
  • %Windir%\inf\oem7A.PNF

・上記ファイルが復号され、実行プロセスに挿入されます。(McAfeeのシステムでは、lsass.exe、svchost.exe、services.exeへの挿入を確認)

・サービス登録用として、以下のレジストリキーを作成します。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls
    • Description: "MRXCLS"
    • DisplayName: "MRXCLS"
    • ErrorControl: 0x00000000
    • Group: "Network"
    • ImagePath: "%system%\Drivers\mrxcls.sys"
    • Start: 0x00000001
    • Type: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls\Enum
    • 0: "Root\LEGACY_MRXCLS\0000"
    • Count: 0x00000001
    • NextInstance: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet
    • Description: "MRXNET"
    • DisplayName: "MRXNET"
    • ErrorControl: 0x00000000
    • Group: "Network"
    • ImagePath: "%system%\Drivers\mrxnet.sys"
    • Start: 0x00000001
    • Type: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet\Enum
    • 0: "Root\LEGACY_MRXNET\0000"
    • Count: 0x00000001
    • NextInstance: 0x00000001

・上記以外に、以下のようなファイルが確認される場合もあります。

・s7otbxsx.dll - 合法的なSiemensのファイルを包み込むファイルです。正しい機能呼び出しの命令に割り込みます。s7otbxsx.dllは、コントロールを自身に呼び込んでから、オリジナルの機能を呼び出すDLLファイルに戻します。

・以下のようなネットワーク接続を確立します。

  • windowsupdate.com
  • mypremierfutbol.com
  • msn.com
  • todaysfutbol.com

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のファイルおよびレジストリキーが存在します。

TOPへ戻る

感染方法

・はじめはCVE-2010-2568を実行する悪質な.lnkファイルが含まれたUSBドライブを介して感染します。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る