استاکسنت (Stuxnet) یک بدافزار رایانهای (بنا بر نظر شرکتهای نرمافزاری امنیت رایانه:کرم رایانهای[ یا تروجان) است که اولین بار در تاریخ ۱۳ جولای ۲۰۱۰ توسط ضدویروس VBI 32 شناسایی شد. این بدافزار با استفاده از نقص امنیتی موجود در میانبرهای ویندوز، با آلوده کردن رایانههای کاربران صنعتی فایلهای با قالب اسکادا که مربوط به نرمافزارهای WinCC و PCS7 شرکت زیمنس را جمع آوری کرده و به یک سرور خاص ارسال میکند.
این بدافزار در اواسط تیرماه ۱۳۸۹ در سراسر جهان انتشار یافت و بیشترین میزان آلودگی به این بدافزار در ایران گزارش شدهاست کارشناسان معتقدند طراحان این بدافزار یک منطقه جغرافیایی خاص را مدنظر داشتهاند و طبق گزارش مجله بیزنس ویک هدف از طراحی این بدافزار دستیابی به اطلاعات صنعتی ایران است.این بدافزار برای جلوگیری از شناسایی شدن خود از امضای دیجیتال شرکت Realtek استفاده میکند.
استاکسنت از طریق ایمیل و حافظههای جانبی منتشر میشود.این بدافزار پس از آلوده ساختن سیستم،فایلهای زیر را در سیستم کپی مینماید:
و برای راهاندازی سرویسهای خود پس از بالا آمدن ویندوز کلیدهای زیر را در رجیستری ویندوز نصب میکند:
این بدافزار در اواسط تیرماه ۱۳۸۹ در سراسر جهان انتشار یافت و بیشترین میزان آلودگی به این بدافزار در ایران گزارش شدهاست کارشناسان معتقدند طراحان این بدافزار یک منطقه جغرافیایی خاص را مدنظر داشتهاند و طبق گزارش مجله بیزنس ویک هدف از طراحی این بدافزار دستیابی به اطلاعات صنعتی ایران است.این بدافزار برای جلوگیری از شناسایی شدن خود از امضای دیجیتال شرکت Realtek استفاده میکند.
استاکسنت از طریق ایمیل و حافظههای جانبی منتشر میشود.این بدافزار پس از آلوده ساختن سیستم،فایلهای زیر را در سیستم کپی مینماید:
1. %Windir%\inf\mdmcpq3.PNF
2. %Windir%\inf\mdmeric3.PNF
3. %Windir%\inf\oem6C.PNF323
4. %Windir%\inf\oem7A.PNF
5. %windir%\system32\drivers\mrxcls.sys
6. %windir%\system32\drivers\mrxnet.sys
2. %Windir%\inf\mdmeric3.PNF
3. %Windir%\inf\oem6C.PNF323
4. %Windir%\inf\oem7A.PNF
5. %windir%\system32\drivers\mrxcls.sys
6. %windir%\system32\drivers\mrxnet.sys
و برای راهاندازی سرویسهای خود پس از بالا آمدن ویندوز کلیدهای زیر را در رجیستری ویندوز نصب میکند:
1. HKLM\System\CurrentControlSet\Services\Services\MRxNet
2. HKLM\System\CurrentControlSet\Services\Services\MRxCls
2. HKLM\System\CurrentControlSet\Services\Services\MRxCls
سپس این بدافزار در حافظه سیستم مقیم شده و برای عبور از دیوار آتشین سیستم،کدهای خود را به اینترنت اکسپلورر تزریق میکند و پس از جمع آوری اطلاعات مربوط به شبکهها و پیکربندی آنها در رایانه قربانی سعی به ارتباط با وبگاههای زیر از طریق راه دور میکند:
* www.windowsupdate.com
* www.msn.com
* www.mypremierfutbol.com
* www.todaysfutbol.com
* www.msn.com
* www.mypremierfutbol.com
* www.todaysfutbol.com
استاکس نت همچنین برای گسترش و انتشار خود در سیستمهای دیگر ، فایلهای زیر را در حافظههای جانبی که به رایانههای آلوده شده متصل شوند ، کپی میکند :
1. %DriveLetter%\~WTR4132.tmp
2. %DriveLetter%\~WTR4141.tmp
3. %DriveLetter%\Copy of Shortcut to.lnk
4. %DriveLetter%\Copy of Copy of Shortcut to.lnk
5. %DriveLetter%\Copy of Copy of Copy of Shortcut to.lnk
6. %DriveLetter%\Copy of Copy of Copy of Copy of Shortcut to.lnk
2. %DriveLetter%\~WTR4141.tmp
3. %DriveLetter%\Copy of Shortcut to.lnk
4. %DriveLetter%\Copy of Copy of Shortcut to.lnk
5. %DriveLetter%\Copy of Copy of Copy of Shortcut to.lnk
6. %DriveLetter%\Copy of Copy of Copy of Copy of Shortcut to.lnk