Stuxnet ワームの検出

critical Nessus プラグイン ID 49270

概要

リモート Windows ホストが、Stuxnet ワームに感染しました。

説明

リモート Windows ホストでは、Stuxnet ワームがシステムに感染したことを示すファイルがシステムに存在します。このワームは、既知の Windows の脆弱性と削除可能な媒体を利用しながら複数の方法で拡大を試みます。複数の 0-day の脆弱性を利用したり、Siemens SCADA システムを攻撃することが確認されています。

このプラグインは、Windows システム上に存在する感染時に生成されるファイルを検索します。Stuxnet 実行可能ファイルは、ハードコードされたファイル名を使用し、システムによってロードされる悪意のあるドライバーなどの複数のファイルを生成します。これらのファイルが存在することは、Stuxnet が利用を試みる複数のベクトルの 1 つを通じてシステムが感染していることを示します。

ソリューション

ホストのウイルス対策ソフトウェアを更新し、ホストをクリーンにし、再びスキャンを実行して削除を確認してください。問題が解決しない場合は、感染したホストの再インストールをお勧めします。

参考資料

http://www.nessus.org/u?af45eeeb

http://www.nessus.org/u?38fada60

プラグインの詳細

深刻度: Critical

ID: 49270

ファイル名: stuxnet_detect.nasl

バージョン: 1.13

タイプ: local

エージェント: windows

ファミリー: Backdoors

公開日: 2010/9/17

更新日: 2022/4/11

設定: 徹底したチェックを有効にする (optional)

資産インベントリ: true

サポートされているセンサー: Nessus Agent, Nessus

脆弱性情報

必要な KB アイテム: SMB/Registry/Enumerated