معلومات من الافيرا حول الفايروس
الفيروس : TR/Drop.Stuxnet.A.5
اكتشف التاريخ : 14/07/2010
النوع : حصان طروادة
النوع الفرعي : Dropper
الاصابة: متوسطة
إمكانية الانتشار: عالية
الأضرار المحتملة : عالية
ملف ثابت : نعم
حجم الملف : 513،536 بايت
تحديث الإصدار : 7.10.09.86 -- الأربعاء ، 14 يوليو 2010 08:43 (بتوقيت جرينتش +1)
• ميزة التشغيل التلقائي
( موجودة)
الأسماء المستعارة لبرامج الحماية :
• Mcafee: Stuxnet
• Kaspersky: Trojan-Dropper.Win32.Stuxnet.a
• TrendMicro: WORM_STUXNET.A
• Sophos: Troj/Stuxnet-A
• Microsoft: TrojanDropper:Win32/Stuxnet.A
• Panda: Trj/CI.A
• DrWeb: Trojan.Stuxnet.1
• Ikarus: Trojan-Dropper.Win32.Stuxnet
• Norman: W32/Stuxnet.C
منصات / نظام التشغيل :
• ويندوز الشرق الأوسط
ويندوز • 2000
• ويندوز إكس بي
نوافذ • 2003
• ويندوز فيستا
• ويندوز سيرفر 2008
• ويندوز 7
الآثار الجانبية :
• قطرات الملفات الخبيثة
• تعديل التسجيل
• يستفيد من ضعف برامج
• يسرق المعلومات
الاصابة بالنظام
SYSDIR%\drivers\mrxcls.sys
SYSDIR%\drivers\mrxnet.sys
الاصابة بالرجستر
– [HKLM\SYSTEM\CurrentControlSet\Services\MRxCls]
• "Description"="MRXCLS"
• "DisplayName"="MRXCLS"
• "ErrorControl"=dword:00000000
• "Group"="Network"
• "ImagePath"="\\??\\c:\windows\\system32\\Drivers\\mrxcls.sys"
• "Start"=dword:00000001
• "Type"=dword:00000001
• "Data"=hex:8f,1f,f7,6d,7d,b1,c9,09,9d,cc,24,7a,c6,9f,fb,23,90,bd,9d,bf,f1,d4,\
• 51,92,2a,b4,1f,6a,2e,a6,4f,b3,cb,69,7c,0b,92,3b,1b,c0,d7,75,17,a9,e3,33,48,\
• dc,ad,f6,da,ea,2f,87,10,c4,21,81,a5,75,68,00,2e,b1,c2,7b,eb,dd,bb,72,47,dc,\
• 87,91,14,a5,f3,c4,32,b0,cc,93,38,36,6b,49,0a,f2,6f,1f,1d,a1,4a,15,05,80,4b,\
• 13,a8,aa,82,41,4b,89,dc,89,24,a2,ed,16,37,f3,42,a9,a0,6a,7f,82,cd,90,e5,3c,\
• 49,cc,b2,97,ca,cb,7b,64,c1,48,b2,4c,f5,ae,54,42,74,0f,00,31,fd,80,e8,7e,0e,\
• 69,12,42,3a,ec,0f,6f,03,b8,46,9c,68,97,ac,62,16,fb,1a,1b,d9,33,6c,e8,f9,93,\
• c3,56,54,a1,89,7a,7b,77,ce,ba,0d,95,a7,0f,ab,5e,1c,3c,18,63,ae,3e,60,a6,81,\
• bc,fa,85,fb,37,a0,0a,57,f9,c9,d3,cf,6b,41,d9,6d,cd,39,71,c5,11,83,f1,d9,f3,\
• 7d,b7,91,f7,70,46,c2,24,f7,b9,0f,2d,b2,60,72,1c,8f,f9,98,16,34,52,4b,7d,5f,\
• 81,5f,35,fd,8b,3e,78,b1,0b,0a,90,5a,d8,30,5a,56,90,9a,c0,c1,0f,eb,95,d5,2f,\
• b7,c5,8d,2b,3f,49,41,8b,86,b4,db,71,67,69,e6,e8,69,77,29,77,18,82,11,8b,d7,\
• 5d,26,e4,5a,5c,2c,46,c2,f0,02,28,d8,ea,4b,95,9c,3a,3c,12,da,c4,87,21,91,4f,\
• d0,6e,fa,c4,dd,b7,c9,af,e2,ae,fe,14,0f,53,c4,ba,dd,31,1a,38,7b,37,c0,9e,83,\
• ff,2c,b2,4c,88,33,c1,89,e5,ca,68,31,2d,20,ce,50,64,7b,39,c7,fb,b1,9f,a9,0d,\
• 6c,2a,82,ae,7f,25,43,a7,a2,28,eb,27,73,c9,45,f9,fd,53,a8,f4,a7,fd,b4,90,b2,\
• 28,d8,0c,5a,a8,84,d0,7f,ed,99,25,18,fe,b8,4c,48,66,8d,59,40,f6,cc,30,a6,f4,\
• 04,e8,76,9c,ea,0e,f6,a4,4a,ce,d2
– [HKLM\SYSTEM\CurrentControlSet\Services\MRxCls\Enum]
• "0"="Root\\LEGACY_MRXCLS\\0000"
• "Count"=dword:00000001
• "NextInstance"=dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Services\MRxNet]
• "Description"="MRXNET"
• "DisplayName"="MRXNET"
• "ErrorControl"=dword:00000000
• "Group"="Network"
• "ImagePath"="\\??\\c:\windows\\system32\\Drivers\\mrxnet.sys"
• "Start"=dword:00000001
• "Type"=dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Services\MRxNet\Enum]
• "0"="Root\\LEGACY_MRXNET\\0000"
• "Count"=dword:00000001
• "NextInstance"=dword:00000001
The following registry keys are added:
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS]
• "NextInstance"=dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS\0000]
• "Service"="MRxCls"
• "Legacy"=dword:00000001
• "ConfigFlags"=dword:00000000
• "Class"="LegacyDriver"
• "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
• "DeviceDesc"="MRXCLS"
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS\0000\
Control]
• "*NewlyCreated*"=dword:00000000
• "ActiveService"="MRxCls"
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET]
• "NextInstance"=dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET\0000]
• "Service"="MRxNet"
• "Legacy"=dword:00000001
• "ConfigFlags"=dword:00000000
• "Class"="LegacyDriver"
• "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
• "DeviceDesc"="MRXNET"
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET\0000\
Control]
• "*NewlyCreated*"=dword:00000000
• "ActiveService"="MRxNet"
الجذور الخفية -- ملفاته الخاصة
