キヤノンITソリューションズ：ESET Smart Security & ESET NOD32アンチウイルス：Win32/Stuxnet.A


最新ウイルス定義ファイルバージョン : 12381 (2015/10/09 17:02)

最新ウイルス情報 : Win32/Stuxnet.A	公開日：2010年7月30日
このウイルスに関する危険度 :■■■■□

定義名称	Win32/Stuxnet.A
シグネチャ検査による結果だった場合	Win32/Stuxnet.A
別名	Trojan-Dropper.Win32.Stuxnet.a (Kaspersky), Worm:Win32/Stuxnet.B (Microsoft), W32.Stuxnet (Symantec)
種別	ワーム
アドバンスドヒューリスティック検査による結果だった場合	このオリジナルのワームを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくはWin32/Stuxnet.A ワームの亜種」という名称で警告が出ます。
対応時期	バージョン 5282 (20100715) 以降
影響を受けるプラットフォーム	Microsoft Windows
概要	このワームは、リムーバブルメディアを経由して感染します。感染しようとするPCのOSの脆弱性を利用することによって、感染を拡大します。この脆弱性は、CVE-2010-2568に記述されています。ルートキットの標準的な技術を使用しています。詳しい活動内容については、解説欄をご参照ください。

検出した場合の対処方法

常駐監視を行っているAMON、IMON、DMON、EMONによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。

対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

解説

■侵入(インストレーション)について

このワームは、実行時に、次のファイルを作成します。

%windir%\inf\oem7A.PNF
%windir%\inf\oem6c.pnf
%windir%\inf\mdmcpq3.pnf
%windir%\inf\mdmeric3.pnf
%system%\drivers\mrxcls.sys
%system%\drivers\mrxnet.sys

このワームは、次のシステムドライバをインストールします。

%system%\drivers\mrxcls.sys
%system%\drivers\mrxnet.sys

このワームは、次の名前を使用して、システムサービスとして登録します。

MRXNET
MRXCLS

このワームは、システムが開始される毎に実行できるよう、次のレジストリを登録します。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls]
"Description"= "MRXCLS"
"DisplayName"= "MRXCLS"
"ErrorControl"= 0
"Group"= "Network"
"ImagePath"="%system%\drivers\mrxcls.sys"
"Start"= 1
"Type"= 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet]
"Description"= "MRXNET"
"DisplayName"= "MRXNET"
"ErrorControl"= 0
"Group"= "Network"
"ImagePath"= "%system%\drivers\mrxnet.sys"
"Start"= 1
"Type"= 1

■リムーバブルメディアを経由した感染について

このワームは、次の名前を使用してリムーバブルメディアのルートフォルダに自分自身をコピーします。

~wtr4132.tmp (513536 B)
~wtr4141.tmp (25720 B)

同じフォルダに次のファイルを保存します。

Copy of Shortcut to.lnk
Copy of Copy of Shortcut to.lnk
Copy of Copy of Copy of Shortcut to.lnk
Copy of Copy of Copy of Copy of Shortcut to.lnk

感染しようとするPCのOSの脆弱性を利用することによって、感染を拡大します。この脆弱性は、CVE-2010-2568に記述されています。

このようにして、このワームは、感染したリムーバブルメディアをPCに挿入する度に、起動します。

■その他の情報

このワームは、次のファイルを作成する可能性があります。

%temp%\~DF%variable%.tmp
※ %variable% には適当な文字列が入ります。

このワームは、次のプロセスの動作を変更します。

Windows Defender リアルタイム保護

このワームは次のプロセス内で自分自身のプログラムを使用して、新しいスレッドを作成し、実行する可能性があります。

CCprojectMgr.exe
explorer.exe
iexplore.exe
lsass.exe
s7tgtopx.exe
services.exe
svchost.exe
winlogon.exe

このワームは、次のサーバーに接続することによってインターネットに接続可能かどうか調査します。

www.msn.com
www.windowsupdate.com

このワームは、リモートコンピュータやインターネットから、データやコマンドを受け取ります。

このワームは、以下のサーバに接続します。

www.mypremierfutbol.com
www.todaysfutbol.com

このワームは、次の情報を収集します。

OSのバージョン情報
コンピュータ名
コンピュータのIPアドレス

次の操作を実行する可能性があります。

リモートコンピュータやインターネットからファイルをダウンロードします。
その後、ダウンロードしたファイルを実行します。
収集した情報を送信します。