RTKT_STUXNET

「STUXNET」は、2010年に注目されたマルウェアで、リムーバブルドライブおよびMicrosoft関連の2つの脆弱性を利用して拡散します。STUXNETは、特にショートカットファイル（拡張子LNK）に存在する脆弱性を利用します。Microsoftは、STUXNETの最初の亜種が確認された数日後、想定外の更新プログラムを公開することとなりました。

その後の調査で、STUXNETは、SCADAシステムとして知られる重要なインフラを制御するコンピュータを狙っていたことが明らかになりました。STUXNETのコードから、STUXNETが特定のハードウェア環境設定のコンピュータのみを狙っていたことが確認されました。2012年現在、STUXNETが特殊なコンピュータのみを狙っていた理由については、明確な結論は出ていません。

インストール

マルウェアは、以下のファイルを作成します。

• %User Temp%\malware.exe

(註：%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\＜ユーザー名＞\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\TEMP" です。)

マルウェアは、以下のコンポーネントファイルを作成します。

• %System%\drivers\mrxcls.sys
• %System%\drivers\mrxnet.sys
• {drive letter}:\ Copy of Shortcut to.lnk
• %System%\wbem\mof\sysnullevnt.mof
• C:\WINDOWS\Help\winmic.fts

(註：%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

マルウェアは、以下の無害なファイルを作成します。

• %Windows%\inf\mdmcpq3.PNF
• %Windows%\inf\mdmeric3.PNF
• %Windows%\inf\oem6C.PNF
• %Windows%\inf\oem7A.PNF

(註：%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• {drive letter}:\~WTR4132.tmp
• {drive letter}:\~WTR4141.tmp

その他

マルウェアは、以下のWebサイトにアクセスしてインターネット接続を確認します。

• www.windowsupdate.com
• www.msn.com

マルウェアは、以下の不正なWebサイトにアクセスします。

• www.{BLOCKED}rfutbol.com
• www.{BLOCKED}futbol.com