Analisis virus Stuxnet

Tahun ini, Zero-day exploit diramaikan dengan perbincangan soal virus Stuxnet, virus yang spesifik menyerang software-software Industri (SCADA, WinCC, PCS 7 dari Siemens dll). Nah, berikut adalah hasil analisis sebuah sampel dari Stuxnet yang berhasil dianalisis dengan framework milik ThreatExpert.

Nama alias: Malware.Stuxnet [PCTools], W32.Stuxnet [Symantec], Trojan-Dropper.Win32.Stuxnet.e [Kaspersky Lab], Stuxnet [McAfee], Troj/Stuxnet-A [Sophos], TrojanDropper:Win32/Stuxnet.A [Microsoft], Trojan-Dropper.Win32.Stuxnet [Ikarus], Win-Trojan/Stuxnet.517632.F [AhnLab]

Hasil MD5: 0xA2FEB4862A0E30E7AC1EF34505ACD356 (a2feb4862a0e30e7ac1ef34505acd356)
Hasil SHA-1: 0xDC4B68CA78EDECBD94B2CB2501303D849FB605A5
Ukuran: 517,632 bytes

Level: High-risk

Security-risk (Possible):

• Worm yang menyebar ke seluruh bagian jaringan
• Mungkin mengandung metode rootkit-spesifik ke sejumlah versi OS, software dan driver,

Membuat file-file berikut:

• %Windir%\inf\mdmcpq3.PNF
• %Windir%\inf\mdmeric3.PNF
• %Windir%\inf\oem6C.PNF
• %Windir%\inf\oem7A.PNF
• %System%\drivers\mrxcls.sys
• %System%\drivers\mrxnet.sys

Teknik Injeksi modul serupa Rootkit ke Kernel:

• KERNEL32.DLL.ASLR.000241c5 (Process name: services.exe, Process filename: %System%\services.exe, Address space: 0xE50000 – 0xF88000)
• KERNEL32.DLL.ASLR.000247cc (Process name: svchost.exe, Process filename: %System%\svchost.exe, Address space: 0x9D0000 – 0xB08000)
• KERNEL32.DLL.ASLR.0002329f (Process name: svchost.exe, Process filename: %System%\svchost.exe, Address space: 0x24D0000 – 0×2608000)

Membuat key baru di Registry Windows:

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXCLS
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXCLS\0000
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXCLS\0000\Control
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXNET
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXNET\0000
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXNET\0000\Control
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls\Enum
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet\Enum
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS\0000
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS\0000\Control
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET\0000
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET\0000\Control
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls\Enum
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet\Enum

Solusi membasmi Stuxnet

Silakan update antivirus anda, minimal menggunakan vendor-vendor yang telah mengenali Virus ini (lihat bagian alias).

Koleksi Hash

Bagi yang ingin mengkoleksi hash dari virus ini berikut file yang dibuat (barangkali bermanfaat untuk dimasukkan ke antivirus buatan sendiri atau database ClamAV) ini adalah hash MD5 yang bisa anda tambahkan:

• 9CD03CB160D20B686A0CE7AD2048C52A
• B834EBEB777EA07FB6AAB6BF35CDF07F
• AC64C5A7ED0D8C6C3A10FE584F2DCF90
• AD19FBAA55E8AD585A97BBCDDCDE59D4
• F8153747BAE8B4AE48837EE17172151E
• CC1DB5360109DE3B857654297D262CA1
• A2FEB4862A0E30E7AC1EF34505ACD356

virus stuxnet, anti virus stuxnet, membasmi stuxnet, hilangkan virus dorkbot, membersihkan virus dorkbot, menghapus virus dorkbot, menghapus virus dorkbot bx, nama virus yang menyerang scada, software analisa virus, -inurl: nama virus yang menyerang scada, makalah tentang virus stuxnet, database dorkbot bx untuk avg, cara meremove dorkbot bx, apa nama virus yang menyerang scada ?, antivirus stuxnet

Tulisan Terkait

• Stuxnet, Trojan Penyerang SCADA
• Waspadalah, Sudah 5 Juta Handset Android kena Virus Counterclank
• Update Virus Definition untuk Virus DorkBot.bx
• Tentang Virus DorkBot.Bx