Selasa, 28 September 2010

Analisa Virus Stuxnet

Tahun ini, Zero-day exploit diramaikan dengan perbincangan soal virus Stuxnet, virus yang spesifik menyerang software-software Industri (SCADA, WinCC, PCS 7 dari Siemens dll). Nah, berikut adalah hasil analisis sebuah sampel dari Stuxnet yang berhasil dianalisis dengan framework milik ThreatExpert.

Nama alias: Malware.Stuxnet [PCTools], W32.Stuxnet [Symantec], Trojan-Dropper.Win32.Stuxnet.e [Kaspersky Lab], Stuxnet [McAfee], Troj/Stuxnet-A [Sophos], TrojanDropper:Win32/Stuxnet.A [Microsoft], Trojan-Dropper.Win32.Stuxnet [Ikarus], Win-Trojan/Stuxnet.517632.F [AhnLab]

Hasil MD5: 0xA2FEB4862A0E30E7AC1EF34505ACD356 (a2feb4862a0e30e7ac1ef34505acd356)
Hasil SHA-1: 0xDC4B68CA78EDECBD94B2CB2501303D849FB605A5
Ukuran: 517,632 bytes

Level: High-risk

Security-risk (Possible):

Worm yang menyebar ke seluruh bagian jaringan
Mungkin mengandung metode rootkit-spesifik ke sejumlah versi OS, software dan driver,
Membuat file-file berikut:

%Windir%\inf\mdmcpq3.PNF
%Windir%\inf\mdmeric3.PNF
%Windir%\inf\oem6C.PNF
%Windir%\inf\oem7A.PNF
%System%\drivers\mrxcls.sys
%System%\drivers\mrxnet.sys
Teknik Injeksi modul serupa Rootkit ke Kernel:

KERNEL32.DLL.ASLR.000241c5 (Process name: services.exe, Process filename: %System%\services.exe, Address space: 0xE50000 – 0xF88000)
KERNEL32.DLL.ASLR.000247cc (Process name: svchost.exe, Process filename: %System%\svchost.exe, Address space: 0x9D0000 – 0xB08000)
KERNEL32.DLL.ASLR.0002329f (Process name: svchost.exe, Process filename: %System%\svchost.exe, Address space: 0x24D0000 – 0×2608000)
Membuat key baru di Registry Windows:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXCLS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXCLS\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXCLS\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXNET
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXNET\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXNET\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls\Enum
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet\Enum
Solusi membasmi Stuxnet

Silakan update antivirus anda, minimal menggunakan vendor-vendor yang telah mengenali Virus ini (lihat bagian alias).

Koleksi Hash

Bagi yang ingin mengkoleksi hash dari virus ini berikut file yang dibuat (barangkali bermanfaat untuk dimasukkan ke antivirus buatan sendiri atau database ClamAV) ini adalah hash MD5 yang bisa anda tambahkan:

9CD03CB160D20B686A0CE7AD2048C52A
B834EBEB777EA07FB6AAB6BF35CDF07F
AC64C5A7ED0D8C6C3A10FE584F2DCF90
AD19FBAA55E8AD585A97BBCDDCDE59D4
F8153747BAE8B4AE48837EE17172151E
CC1DB5360109DE3B857654297D262CA1
A2FEB4862A0E30E7AC1EF34505ACD356

(luthfi emka)