Resumen de las Principales caracteristicas del STUXNET (QUE APROVECHA NUEVO ZERO DAY NO PARCHEADO)msc hotline sat Tuesday, July 20, 2010 Rootkit STUXNET (Autoejecucion por .LNK en pendrives) Troyano backdoor con tecnicas Rootkit que infecta por visualizacion de icono de ficheros .LNK especialmente diseñados (ZERO-DAY actual) Sus controladores estan firmados digitalmente por Realtek Crea puerta trasera con procesos protegidos por RootKit Alias: W32.Temphid (Symantec),Rootkit.Win32.Stuxnet.a (Kaspersky), RTKT_STUXNET.A (TrendMicro),Win32/Stuxnet.A (Eset), Rootkit.Stuxnet.A (F-Secure), W32 /Stuxnet-B(Sophos), Rootkit.Stuxnet.A (BitDefender) Al ejecutarse crea las siguientes copias de sí mismo y se agrega como servicios con nombres de MRXCLS y MRXNET : %System%\drivers\mrxcls.sys (Trojan:WinNT/Stuxnet.A) %System%\drivers\mrxnet.sys (Trojan:WinNT/Stuxnet.B) Crea las siguientes claves del registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\MRxCls\ "ImagePath"="%System%\ drivers\mrxcls.sys" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\MRxNet\ "ImagePath"="%System%\ drivers\mrxnet.sys" Oculta los archivos eliminados mediante la modificación de los archivos FindFirstFileW FindNextFileW FindFirstFileExW NtQueryDirectoryFile ZwQueryDirectoryFile Crea los siguientes archivos de datos cifrados en C:\Windows\inf\ mdmcpq3.PNF, mdmeric3.pnf, oem6c.pnf, oem7a.pnf Se inyecta en el proceso de iexplorer para eludir los firewalls. Detiene los siguientes procesos de los antivirus mas conocidos: VP.exe,Mcshield.exe,AvGuard.exe,bdagent.exe, UmxCfg.exe,fsdfwd.exe,rtvscan.exe,ccSvcHst.exe, ekrn.exe,tmpproxy.exe Controla el acceso a los siguientes hosts remotos: http://www.windowsupdate.com http://www.es.MSN.com http://www.mypremierfutbol.com http://www.todaysfutbol.com Se propaga por copias de sí mismo a unidades extraíbles, con los siguientes nombres de archivos: %DriveLetter%\~WTR4132.tmp %DriveLetter%\~WTR4141.tmp %DriveLetter%\Copy de to.lnk de acceso directo %DriveLetter%\Copy de to.lnk de copiar de acceso directo %DriveLetter%\Copy de to.lnk de la copia de copiar acceso de directo %DriveLetter%\Copy de to.lnk de la copia de la copia de copiar acceso de directo Contramedidas: Eliminar los archivos y las entradas del registro hechas por el rootkit Stuxnet mencionado anteriormente Instalar y mantener software antivirus actualizado a nivel de escritorio y gateway Aplicar parches apropiados, como se menciona en la nota de la vulnerabilidad de CERT (CIVN-2010-169) Tener cuidado al abrir los archivos adjuntos y la aceptación de las descargas de archivos. Tener cuidado al hacer clic en los enlaces a páginas web. La información proporcionada en el presente documento es la base de "tal cual", sin garantía de ningún tipo. http://www.cert-in.org.in/virus/Stuxnet_Rootkit.htm __________ Resumen de los medios disponibles contra ello desarrolados por SATINFO: Nueva version del ELIPEN 2.1 que dispone de la opcion /LNK para proteger contra la infección, segun indicado por Microsoft, si bien no se dispone de la visualizacion de los iconos de los .LNK (ver informe en el blog) Nueva version del ELISTARA 21.41 que elimina servicios, claves y ficheros al respecto. De todas formas se sugiere máxima precaucion especialmente con el uso de pendrives y de ficheros, links e imagenes recibidos en mails, accesos a webs y navegacion en general. Como ya hemos ido avisando se trata de un nuevo ZERO DAY (vulnerabilidad de windows aun no parcheada) de la que empezamos a tener noticia a finales de la semana pasada y nos esperamos lo peor... por lo que recomendamos maxima precaucion y si hay sospechas del mismo, indicarlo urgentemente. saludos ms, 20-7-2010 ANEXO DE ULTIMA HORA: Y parece que hemos recibido muestras de otro troyano que aprovecha el mismo método de propagacion por .LNK en pendrives, el LNK/Autostart.A Y seguro que no será el último de esta especie ! ms. |
RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com |