解析者: Christopher Daniel So   
 更新者 : Karl Dominguez
 プラットフォーム:

Windows 2000, XP, Server 2003, Vista 32-bit

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    ワーム

  • 破壊活動の有無:
    はい

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

感染経路 ピアツーピア(P2P)ネットワークを介した感染活動, リムーバブルドライブを介した感染活動, ソフトウェアの脆弱性を利用した感染活動

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

ワームは、ソフトウェアに存在する脆弱性を利用して、同じネットワーク上にある他のコンピュータへの感染活動をします。

ワームは、ファイル、プロセスまたはレジストリ値を隠ぺいします。

  詳細

ファイルサイズ 513,536 bytes
タイプ EXE
メモリ常駐 はい
発見日 2010年7月16日
ペイロード システムセキュリティへの感染活動, ファイルおよびプロセスの隠ぺい, ファイルの作成

侵入方法

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

インストール

ワームは、以下のコンポーネントファイルを作成します。

  • %System%\drivers\mrxcls.sys - detected as RTKT_STUXNET.A
  • %System%\drivers\mrxnet.sys - detected as RTKT_STUXNET.A
  • %System%\wbem\mof\sysnullevnt.mof
  • %Windows%\inf\oem6C.PNF
  • %Windows%\inf\oem7A.PNF - encrypted DLL on .stub section
  • %Windows%\inf\mdmcpq3.PNF - encrypted data where URL of server is stored
  • %Windows%\inf\mdmeric3.PNF
  • C:\\WINDOWS\Help\winmic.fts

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。. %Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)

感染活動

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

  • {drive letter}:\\Copy of Shortcut to.lnk
  • {drive letter}:\\~WTR4132.tmp
  • {drive letter}:\\~WTR4141.tmp

ワームは、以下のソフトウェアに存在する脆弱性を利用して、ネットワーク上で感染活動をします。

  • Microsoft Security Bulletin MS10-061

    This worm exploits this vulnerability in the Windows Shell by calling the StartDocPrinter procedure in order to impersonate the Printer Spooler service to create the file WINSTA.EXE on the Windows system folder of a target machine. It also sends a second file named sysnullevnt.mof and saves it as %System%\wbem\mof. It is automatically registered to the Windows Management Instrumentation then it executes WINSTA.EXE. The said .MOF file also registers an event that deletes its duplicate in the %System%\wbem\mof\good and WINSTA.EXE once the said executable is terminated.

  • Microsoft Security Bulletin MS08-067

    By sending specially crafted RPC requests, this worm can send and execute a copy of itself into a vulnerable system.

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

バックドア活動

ワームは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • www.{BLOCKED}ierfutbol.com
  • www.{BLOCKED}futbol.com

ルートキット機能

ワームは、ファイル、プロセスまたはレジストリ値を隠ぺいします。

情報収集

ワームは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

  • http://www.{BLOCKED}ierfutbol.com/index.php?data={data}

    (Note: {data} is an encrypted hex value that contains the IP address of the machine, computer name, and domain.)

その他

ワームは、以下のWebサイトにアクセスしてインターネット接続を確認します。

  • www.windowsupdate.com
  • www.msn.com

  対応方法

対応検索エンジン: 8.900
初回 VSAPI パターンバージョン 7.322.07
初回 VSAPI パターンリリース日 2010年7月19日
VSAPI OPR パターンバージョン 7.353.00
VSAPI OPR パターンリリース日 2010年7月31日

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

この「WORM_STUXNET.A」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した場合は削除してください。

手順 3

回復コンソールを使用して、WORM_STUXNET.A として検出されるファイルを確認し、削除します。

[ 詳細 ]

手順 4

このレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
    • MRxCls
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
    • MRxNet

手順 5

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %Windows%\inf\oem6C.PNF
  • %Windows%\inf\oem7A.PNF
  • %Windows%\inf\mdmcpq3.PNF
  • %Windows%\inf\mdmeric3.PNF
  • C:\WINDOWS\Help\winmic.fts
  • %Simatic Project folder%\XUTILS\listen\xr000000.mdx
  • %Simatic Project folder%\XUTILS\links\s7p00001.dbf
  • %Simatic Project folder%\XUTILS\listen\s7000001.mdx
  • %Simatic Project folder%\hOmSave7\s7hkimdb.dll

手順 6

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「WORM_STUXNET.A」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 7

以下の修正パッチをダウンロードし適用します。この脆弱性に対する修正パッチを適用するまで、該当製品の使用をお控えください。この製品の製造元が公開する正式な修正パッチをダウンロードし適用することをお勧めします。


Note: To identify STUXNET-infected systems within a network, administrators can use Trend Micro's special STUXNET Scanner Tool. For more details, download and extract the package and refer to the tool's incorporated text file.


ご利用はいかがでしたか? アンケートにご協力ください