Analisis virus Stuxnet

Tahun ini, Zero-day exploit diramaikan dengan perbincangan soal virus Stuxnet, virus yang spesifik menyerang software-software Industri (SCADA, WinCC, PCS 7 dari Siemens dll). Nah, berikut adalah hasil analisis sebuah sampel dari Stuxnet yang berhasil dianalisis dengan framework milik ThreatExpert.

Nama alias: Malware.Stuxnet [PCTools], W32.Stuxnet [Symantec], Trojan-Dropper.Win32.Stuxnet.e [Kaspersky Lab], Stuxnet [McAfee], Troj/Stuxnet-A [Sophos], TrojanDropper:Win32/Stuxnet.A [Microsoft], Trojan-Dropper.Win32.Stuxnet [Ikarus], Win-Trojan/Stuxnet.517632.F [AhnLab]

Hasil MD5: 0xA2FEB4862A0E30E7AC1EF34505ACD356 (a2feb4862a0e30e7ac1ef34505acd356)
Hasil SHA-1: 0xDC4B68CA78EDECBD94B2CB2501303D849FB605A5
Ukuran: 517,632 bytes

Level: High-risk

Security-risk (Possible):

  • Worm yang menyebar ke seluruh bagian jaringan
  • Mungkin mengandung metode rootkit-spesifik ke sejumlah versi OS, software dan driver,

Membuat file-file berikut:

  • %Windir%\inf\mdmcpq3.PNF
  • %Windir%\inf\mdmeric3.PNF
  • %Windir%\inf\oem6C.PNF
  • %Windir%\inf\oem7A.PNF
  • %System%\drivers\mrxcls.sys
  • %System%\drivers\mrxnet.sys

Teknik Injeksi modul serupa Rootkit ke Kernel:

  • KERNEL32.DLL.ASLR.000241c5 (Process name: services.exe, Process filename: %System%\services.exe, Address space: 0xE50000 – 0xF88000)
  • KERNEL32.DLL.ASLR.000247cc (Process name: svchost.exe, Process filename: %System%\svchost.exe, Address space: 0x9D0000 – 0xB08000)
  • KERNEL32.DLL.ASLR.0002329f (Process name: svchost.exe, Process filename: %System%\svchost.exe, Address space: 0x24D0000 – 0x2608000)

Membuat key baru di Registry Windows:

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXCLS
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXCLS\0000
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXCLS\0000\Control
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXNET
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXNET\0000
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXNET\0000\Control
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls\Enum
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet\Enum
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS\0000
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS\0000\Control
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET\0000
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET\0000\Control
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls\Enum
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet\Enum

Solusi membasmi Stuxnet

Silakan update antivirus anda, minimal menggunakan vendor-vendor yang telah mengenali Virus ini (lihat bagian alias).

Koleksi Hash

Bagi yang ingin mengkoleksi hash dari virus ini berikut file yang dibuat (barangkali bermanfaat untuk dimasukkan ke antivirus buatan sendiri atau database ClamAV) ini adalah hash MD5 yang bisa anda tambahkan:

  • 9CD03CB160D20B686A0CE7AD2048C52A
  • B834EBEB777EA07FB6AAB6BF35CDF07F
  • AC64C5A7ED0D8C6C3A10FE584F2DCF90
  • AD19FBAA55E8AD585A97BBCDDCDE59D4
  • F8153747BAE8B4AE48837EE17172151E
  • CC1DB5360109DE3B857654297D262CA1
  • A2FEB4862A0E30E7AC1EF34505ACD356

Wagiman Wiryosukiro

Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

You may also like...

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: