Rootkit.Stuxnet\Tmphider – Devirusare si Protectie

stuxnet trojan removeVa anuntam acum cateva zile despre recent descoperita vulnerabilitate din Windows Shell.

Pentru a va reaminti pe scurt, vulnerabilitatea este cauzata de o eroare in procesarea shortcut-urilor (.lnk)
Problema poate fi exploatata automat prin executarea unui program printr-o scurtatura special creata. Anumiti parametri ai .lnk nu sunt validati corespunzator la incarcare, rezultand aceasta vulnerabilitate.

Stuxnet\Tmphider, este troianul care se foloseste de aceasta gaura de securitate si este raspandit in acest moment.

Cum sa te protejezi impotriva Stuxnet?
Exista cel putin 4 solutii:

1. Folositi Sophos Windows Shortcut Exploit Protection Tool. (solutie recomandata)
2. Ruleaza Microsoft Fix it
3. Ruleaza G Data LNK-Checker.
4. Urmeaza cu atentie pasii indicati de Microsoft in acest buletin.
Aceasta ultima metoda e nerecomandata, pentru ca este laborioasa pentru un utilizator incepator, iar solutia 2 face acelasi lucru. Cu toate astea, cei experimentati o pot aplica.


Cum Devirusam un PC infectat cu Stuxnet?
1. Descarcati Stuxnet Remover, realizat de Greatis Software (solutie recomandata):
http://www.greatis.com/stuxnetremover.zip
Mirror: http://www.averscanner.com/stuxnetremover.zip

stuxnet removal tool

2. Descarcati TrendMicro Syscleaner de aici:
http://support.automation.siemens.com/WW/llisapi.dll/csfetch/43876783/sysclean.zip?func=cslib.csFetch&nodeid=43932305
Dezarhivati si rulati fisierul din arhiva. Veti primi o eroare.
Descarcati ultimele definitii de aici si copiati-le in folderul sysclean.
http://www.trendmicro.com/download/viruspattern.asp

Scanati apoi sistemul si stergeti infectia.

Pentru cei interesati de detalii, virusul creeaza urmatoarele fisiere:

  • C:\WINDOWS\system32\drivers\mrxcls.sys
  • C:\WINDOWS\system32\drivers\mrxnet.sys
  • C:\WINDOWS\inf\mdmcpq3.PNF
  • C:\WINDOWS\inf\mdmeric3.PNF
  • C:\WINDOWS\inf\oem6C.PNF
  • C:\WINDOWS\inf\oem7A.PNF

Un stick infectat va contine unul din fisierele:

  • ~WTR4132.tmp
  • “Copy of Copy of Copy of Copy of Shortcut to.lnk”
  • “Copy of Copy of Copy of Shortcut to.lnk”
  • “Copy of Copy of Shortcut to.lnk”
  • “Copy of Shortcut to.lnk”
  • ~WTR4141.tmp

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

5 responses to “Rootkit.Stuxnet\Tmphider – Devirusare si Protectie”

  1. Gigi

    Ai facut rost de sample? 😀

  2. alessio

    Am vrut sa fiu prevazator si am folosit Fix It dar dupa restart,imi aparura pe ecran doar iconuri albe la scurtaturi…asa ca acum o sa fac Fix It undo 🙂
    *http://support.microsoft.com/kb/2286198 “NOTE: Applying the fixit will remove the graphical representation of icons on the Task bar and Start menu bar and replace them with white icons without the graphical representation of the icon.”

  3. Cojocaru Silviu

    Microsoft va lansa luni patch-ul pentru aceasta problema conform El Reg 🙂

    http://www.theregister.co.uk/2010/07/30/emergency_microsoft_patch/

  4. Microsoft lanseaza Actualizarea pentru Remedierea Vulnerabilitatii Windows Shell

    […] detectat de cei de la VBA32, el folosindu-se de nou descoperita vulnerabilitate. Au aparut rapid metode de prevenire si devirusare pentru a proteja utilizatorii […]

Leave a Reply