Stuxnet, calul troian cu semnatura digitala Realtek

Expertii Kaspersky Lab analizeaza un nou tip de malware, troianul Stuxnet, care se raspandeste prin intermediul dispozitivelor de stocare USB si poarta o semnatura digitala a companiei Realtek Semiconductor, unul dintre cei mai mari producatori de circuite integrate si componente PC. Pentru o solutie antivirus, un program software semnat digital este automat clasificat ca fiind „curat”, si chiar adaugat in lista programelor „de incredere” (whitelist).
Virusul se foloseste de recent descoperita vulnerabilitate din Windows Shell.

Problema a fost semnalata specialistilor Kaspersky Lab de catre analistii companiei de securitate IT VirusBlokAda (VBA) din Belarus. De remarcat sunt cele doua caracteristici ale acestui nou troian: foloseste fisiere de tip LNK pentru a lansa comenzi de pe un stick USB infectat – si nu traditionalul Autorun.inf -, metoda nemaiintalnita pana la momentul de fata, si este semnat digital de Realtek.
„Malware-ul semnat digital este un cosmar pentru dezvoltatorii de programe antivirus”, spune Aleks Gostev, Chief Security Expert, Global Research and Analysis Team Kaspersky Lab. „Semnaturile digitale atesta faptul ca un program este legitim, ele reprezintand un concept de baza in securitatea informatica. Infractorii cibernetici folosesc astfel de semnaturi digitale alese la intamplare pentru a da legitimitate programelor pe care le creeaza, dar in cazul Stuxnet situatia este diferita. Nu mai vorbim despre o semnatura oarecare, ci avem in fata chiar garantia oferita de Realtek, unul dintre cei mai importanti producatori de echipamente IT”, completeaza Gostev.

raspandirea troianului stuxnet


Fisierele semnate digital (Rootkit.Win32.Stuxnet) au functionalitate de rootkit – ascund malware-ul in sistem si pe stick-urile USB pe care le infecteaza. Pentru a se asigura ca certificatul eliberat de Realtek este unul legitim, expertii Kaspersky Lab l-au verificat prin intermediul VeriSign, care a confirmat acest fapt.


Fisierele au fost semnate in data de 25 ianuarie 2010, dar certificatul a expirat pe 12 iunie 2010, data care coincide cu perioada in care Stuxnet a fost identificat pentru prima data de VBA. Expertii Kaspersky Lab au mai multe ipoteze referitoare la modul in care acest fisier malware a fost semnat de Realtek, insa vor publica rezultatele analizei in momentul in care una dintre aceste ipoteze se va confirma.
La momentul actual, cele doua componente de baza ale troianului Stuxnet sunt Rootkit.Win32.Stuxnet (driver-ele semnate digital) si Dropper.Win32.Stuxnet, iar geografia raspandirii lor idica India ca fiind tara de origine.

Fisierele create de virus in PC-ul victimei sunt:

  • C:\WINDOWS\system32\drivers\mrxnet.sys
  • C:\WINDOWS\system32\drivers\mrxcls.sys
  • C:\WINDOWS\inf\oem7A.PNF
  • C:\WINDOWS\inf\oem6C.PNF
  • C:\WINDOWS\inf\mdmeric3.PNF
  • C:\WINDOWS\inf\mdmcpq3.PNF

rootkit stuxnet

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

7 responses to “Stuxnet, calul troian cu semnatura digitala Realtek”

  1. caraboy

    Nasol, si cum se poate scapa de virusul asta? Nici in certificare nu o sa mai avem incredere de acum incolo… 😐

  2. c@t@lin c

    Nu stiu cum se face dar in ultima perioada am fost atacat de multe ip-uri din India si anume New Delhi… astia sunt disperati sa infecteze cat mai multe pc-uri noroc ca am ZA firewall …..iar site-ul videotutorial.ro este inca virusat ….blocat de Norton secure DNS…!!!!

  3. laxinuver

    Ce nu înțeleg este cum reușește să se răspândească dacă infecția nu se poate produce decât prin intermediul dispozitivelor de stocare USB, cum circulă așa de mult dispozitivele infectate?

  4. Rootkit.StuxnetTmphider – Devirusare si Protectie

    […] parametri ai .lnk nu sunt validati corespunzator la incarcare, rezultand aceasta vulnerabilitate.StuxnetTmphider, este troianul care se foloseste de aceasta gaura de securitate si este raspandit in acest […]

  5. BlackMoon

    Certificatul eliberat de Realtek e un “aranjament” destept pentru a mai fura ceva informatie din PC-urile muritorilor de rand si nu numai…

  6. Microsoft lanseaza Actualizarea pentru Remedierea Vulnerabilitatii Windows Shell

    […] sa compromita un sistem. Exploit-ul se baza pe o eroare in procesarea shortcut-urilor (.lnk). Stuxnet, troianul cu caracteristici rootkit, ce avea semnatura digitala Realtek, a fost rapid detectat de […]

Leave a Reply