Имя:RKit/Stuxnet.A
Обнаружен:15/07/2010
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:Высокий
Потенциал повреждений:Высокий
Файл статистики:Да
Размер файла:26.615 байт.
Контрольная сумма MD5:f8153747bae8b4ae48837ee17172151e
Версия IVDF:7.10.09.91 - четверг, 15 июля 2010 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Symantec: W32.Temphid
   •  Kaspersky: Rootkit.Win32.Stuxnet.a
   •  TrendMicro: RTKT_STUXNET.A
   •  F-Secure: Rootkit.Stuxnet.A
   •  Sophos: W32/Stuxnet-B
   •  Bitdefender: Rootkit.Stuxnet.A
   •  Avast: Win32:Stuxnet-B
   •  Microsoft: Trojan:WinNT/Stuxnet.A
   •  AVG: Rootkit-Pakes.AG
   •  PCTools: Rootkit.Stuxnet
   •  Eset: Win32/Stuxnet.A
   •  GData: Rootkit.Stuxnet.A
   •  AhnLab: Backdoor/Win32.Stuxnet
   •  DrWeb: Trojan.Stuxnet.1
   •  Fortinet: W32/Stuxnet.A!tr.rkit
   •  Ikarus: Rootkit.Win32.Stuxnet
   •  Norman: W32/Stuxnet.D


Операционные системы:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Последствия:
   • Изменение реестра
   • Похищает информацию

 Реестр Для загрузки служб после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\CurrentControlSet\Services\virus]
   • "Type"=dword:00000001
   • "Start"=dword:00000003
   • "ErrorControl"=dword:00000001
   • "ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,63,00,3a,00,5c,00,78,00,78,00,78,00,\
   • 5c,00,76,00,69,00,72,00,75,00,73,00,2e,00,73,00,79,00,73,00,00,00
   • "DisplayName"="virus

– [HKLM\SYSTEM\CurrentControlSet\Services\virus\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
   • 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
   • 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
   • 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
   • 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
   • 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
   • 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

– [HKLM\SYSTEM\CurrentControlSet\Services\virus\Enum]
   • "0"="Root\\LEGACY_VIRUS\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VIRUS]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VIRUS\0000]
   • "Service"="virus"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="virus"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VIRUS\0000\Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="virus"

 Технология Rootkit Скрывает следующее:
– Собственные файлы
– Собственный процесс

Описание добавил Patrick Schoenherr в(о) пятница, 16 июля 2010 г.
Описание обновил Patrick Schoenherr в(о) пятница, 16 июля 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.