Resumen de las Principales caracteristicas del STUXNET (QUE APROVECHA NUEVO ZERO DAY NO PARCHEADO)

---

Rootkit STUXNET (Autoejecucion por .LNK en pendrives)


Troyano backdoor con tecnicas Rootkit que infecta por visualizacion de icono de ficheros .LNK especialmente diseñados (ZERO-DAY actual)

Sus controladores estan firmados digitalmente por Realtek

Crea puerta trasera con procesos protegidos por RootKit


Alias:

W32.Temphid (Symantec),Rootkit.Win32.Stuxnet.a (Kaspersky), RTKT_STUXNET.A (TrendMicro),Win32/Stuxnet.A (Eset), Rootkit.Stuxnet.A (F-Secure), W32 /Stuxnet-B(Sophos), Rootkit.Stuxnet.A (BitDefender)


Al ejecutarse crea las siguientes copias de sí mismo y se agrega como servicios con nombres de MRXCLS y MRXNET :


%System%\drivers\mrxcls.sys
(Trojan:WinNT/Stuxnet.A)

%System%\drivers\mrxnet.sys
(Trojan:WinNT/Stuxnet.B)


Crea las siguientes claves del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\MRxCls\ "ImagePath"="%System%\
drivers\mrxcls.sys"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\MRxNet\ "ImagePath"="%System%\
drivers\mrxnet.sys"


Oculta los archivos eliminados mediante la modificación de los archivos
FindFirstFileW
FindNextFileW
FindFirstFileExW
NtQueryDirectoryFile
ZwQueryDirectoryFile


Crea los siguientes archivos de datos cifrados en C:\Windows\inf\
mdmcpq3.PNF, mdmeric3.pnf, oem6c.pnf, oem7a.pnf


Se inyecta en el proceso de iexplorer para eludir los firewalls.


Detiene los siguientes procesos de los antivirus mas conocidos:
VP.exe,Mcshield.exe,AvGuard.exe,bdagent.exe,
UmxCfg.exe,fsdfwd.exe,rtvscan.exe,ccSvcHst.exe,
ekrn.exe,tmpproxy.exe


Controla el acceso a los siguientes hosts remotos:
http://www.windowsupdate.com
http://www.es.MSN.com
http://www.mypremierfutbol.com
http://www.todaysfutbol.com


Se propaga por copias de sí mismo a unidades extraíbles, con los siguientes nombres de archivos:
%DriveLetter%\~WTR4132.tmp
%DriveLetter%\~WTR4141.tmp
%DriveLetter%\Copy de to.lnk de acceso directo
%DriveLetter%\Copy de to.lnk de copiar de acceso directo
%DriveLetter%\Copy de to.lnk de la copia de copiar acceso de directo
%DriveLetter%\Copy de to.lnk de la copia de la copia de copiar acceso de directo


Contramedidas:

Eliminar los archivos y las entradas del registro hechas por el rootkit Stuxnet mencionado anteriormente
Instalar y mantener software antivirus actualizado a nivel de escritorio y gateway
Aplicar parches apropiados, como se menciona en la nota de la vulnerabilidad de CERT (CIVN-2010-169)
Tener cuidado al abrir los archivos adjuntos y la aceptación de las descargas de archivos.
Tener cuidado al hacer clic en los enlaces a páginas web.

La información proporcionada en el presente documento es la base de "tal cual", sin garantía de ningún tipo.

Fuente
__________


Resumen de los medios disponibles contra ello desarrolados por SATINFO:

Nueva version del EliPen 2.1 que dispone de la opcion /LNK para proteger contra la infección, segun indicado por Microsoft, si bien no se dispone de la visualizacion de los iconos de los .LNK (ver informe en el blog)

Nueva version del ElistarA 21.41 que elimina servicios, claves y ficheros al respecto.

De todas formas se sugiere máxima precaucion especialmente con el uso de pendrives y de ficheros, links e imagenes recibidos en mails, accesos a webs y navegacion en general.

Como ya hemos ido avisando se trata de un nuevo ZERO DAY (vulnerabilidad de windows aun no parcheada) de la que empezamos a tener noticia a finales de la semana pasada y nos esperamos lo peor... por lo que recomendamos maxima precaucion y si hay sospechas del mismo, indicarlo urgentemente.

saludos

ms, 20-7-2010



ANEXO DE ULTIMA HORA:

Y parece que hemos recibido muestras de otro troyano que aprovecha el mismo método de propagacion por .LNK en pendrives, el LNK/Autostart.A

Y seguro que no será el último de esta especie !

ms.