Analisis virus Stuxnet

Posted on by Syauqi Wiryahasana
Tahun ini, Zero-day exploit diramaikan dengan perbincangan soal virus Stuxnet, virus yang spesifik menyerang software-software Industri (SCADA, WinCC, PCS 7 dari Siemens dll). Nah, berikut adalah hasil analisis sebuah sampel dari Stuxnet yang berhasil dianalisis dengan framework milik ThreatExpert. Nama alias: Malware.Stuxnet [PCTools], W32.Stuxnet [Symantec], Trojan-Dropper.Win32.Stuxnet.e [Kaspersky Lab], Stuxnet [McAfee], Troj/Stuxnet-A [Sophos], TrojanDropper:Win32/Stuxnet.A [Microsoft], Trojan-Dropper.Win32.Stuxnet [Ikarus], Win-Trojan/Stuxnet.517632.F [AhnLab] Hasil MD5: 0xA2FEB4862A0E30E7AC1EF34505ACD356 (a2feb4862a0e30e7ac1ef34505acd356) Hasil SHA-1: 0xDC4B68CA78EDECBD94B2CB2501303D849FB605A5 Ukuran: 517,632 bytes Level: High-risk Security-risk (Possible):
  • Worm yang menyebar ke seluruh bagian jaringan
  • Mungkin mengandung metode rootkit-spesifik ke sejumlah versi OS, software dan driver,
Membuat file-file berikut:
  • %Windir%\inf\mdmcpq3.PNF
  • %Windir%\inf\mdmeric3.PNF
  • %Windir%\inf\oem6C.PNF
  • %Windir%\inf\oem7A.PNF
  • %System%\drivers\mrxcls.sys
  • %System%\drivers\mrxnet.sys
Teknik Injeksi modul serupa Rootkit ke Kernel:
  • KERNEL32.DLL.ASLR.000241c5 (Process name: services.exe, Process filename: %System%\services.exe, Address space: 0xE50000 - 0xF88000)
  • KERNEL32.DLL.ASLR.000247cc (Process name: svchost.exe, Process filename: %System%\svchost.exe, Address space: 0x9D0000 - 0xB08000)
  • KERNEL32.DLL.ASLR.0002329f (Process name: svchost.exe, Process filename: %System%\svchost.exe, Address space: 0x24D0000 - 0x2608000)
Membuat key baru di Registry Windows:
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXCLS
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXCLS\0000
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXCLS\0000\Control
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXNET
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXNET\0000
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXNET\0000\Control
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls\Enum
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet\Enum
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS\0000
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS\0000\Control
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET\0000
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET\0000\Control
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls\Enum
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet\Enum

Solusi membasmi Stuxnet

Silakan update antivirus anda, minimal menggunakan vendor-vendor yang telah mengenali Virus ini (lihat bagian alias).

Koleksi Hash

Bagi yang ingin mengkoleksi hash dari virus ini berikut file yang dibuat (barangkali bermanfaat untuk dimasukkan ke antivirus buatan sendiri atau database ClamAV) ini adalah hash MD5 yang bisa anda tambahkan:
  • 9CD03CB160D20B686A0CE7AD2048C52A
  • B834EBEB777EA07FB6AAB6BF35CDF07F
  • AC64C5A7ED0D8C6C3A10FE584F2DCF90
  • AD19FBAA55E8AD585A97BBCDDCDE59D4
  • F8153747BAE8B4AE48837EE17172151E
  • CC1DB5360109DE3B857654297D262CA1
  • A2FEB4862A0E30E7AC1EF34505ACD356

TENTANG EMKA.WEB>ID

EMKA.WEB.ID adalah blog seputar teknologi informasi, edukasi dan ke-NU-an yang hadir sejak tahun 2011. Kontak: kontak@emka.web.id.

©2024 emka.web.id Proudly powered by wpStatically