Analisado por: Jeffrey Bernardino   
 Modificado por: : Michael Cabel

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Worm

  • Destrutivo:
    Não

  • Criptografado:
    Não

  • In the Wild:
    Sim

  Visão geral

Canal de infecção: Verbreitet sich über Wechseldatenträger, Verbreitet sich über Sicherheitslücken in Software


  Detalhes técnicos

Tipo de compactação: 517,632 bytes
Tipo de arquivo: PE
Residente na memória: Não
Data de recebimento das amostras iniciais: 22 julho 2010
Carga útil: Drops files, Connects to URLs or IP addresses

Installation

Schleust folgende Dateien/Komponenten ein:

  • %System%\drivers\mrxcls.sys - detected as RTKT_STUXNET.A
  • %System%\drivers\mrxnet.sys - detected as RTKT_STUXNET.A

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Schleust folgende nicht bösartigen Dateien ein:

  • %Windows%\inf\mdmcpq3.PNF
  • %Windows%\inf\mdmeric3.PNF
  • %Windows%\inf\oem6C.PNF
  • %Windows%\inf\oem7A.PNF

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Verbreitung

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

  • {drive letter}:\\~WTR4132.tmp
  • {drive letter}:\\~WTR4141.tmp

Andere Details

Weitere Informationen über diese Schwachstelle finden Sie weiter unten:

  • Vulnerability in Windows Shell Could Allow Remote Code Execution (2286198)

  Solução

Mecanismo de varredura mínima: 8.900
Primeiro arquivo padrão VSAPI: 7.330.08
Data do lançamento do primeiro padrão VSAPI: 22 julho 2010
VSAPI OPR Pattern Version: 7.333.00
VSAPI OPR Pattern veröffentlicht am: 23 julho 2010

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

Malware-Dateien entfernen, die hinterlassen/heruntergeladen wurden von WORM_STUXNET.SM

Step 3

Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt. Achten Sie auf Dateien, die als WORM_STUXNET.SM entdeckt werden

Step 4

Im abgesicherten Modus neu starten

[ Saber mais ]

Step 5

Diese Dateien suchen und löschen

[ Saber mais ]
Möglicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter "Weitere erweiterte Optionen", um alle verborgenen Dateien und Ordner in den Suchergebnissen zu berücksichtigen.
  • %Windows%\inf\mdmcpq3.PNF
  • %Windows%\inf\mdmeric3.PNF
  • %Windows%\inf\oem6C.PNF
  • %Windows%\inf\oem7A.PNF

Step 6

Als WORM_STUXNET.SM entdeckte Datei suchen und löschen

[ Saber mais ]
Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Dateien in den Suchergebnissen zu berücksichtigen.

Step 7

Diesen Sicherheits-Patch herunterladen und übernehmen Verwenden Sie diese Produkte erst, wenn die entsprechenden Patches installiert wurden. Trend Micro empfiehlt Benutzern, wichtige Patches nach der Veröffentlichung sofort herunterzuladen.


Note: To identify STUXNET-infected systems within a network, administrators can use Trend Micro's special STUXNET Scanner Tool. For more details, download and extract the package and refer to the tool's incorporated text file.


Participe da nossa pesquisa!