„Stuxnet“ – Versionsunterschied

Stuxnet ist ein Computerwurm, der im Juni 2010 erstmals als RootkitTmphider beschrieben wurde.^[1] Dieses Computervirus wurde für ein SCADA-System der Firma Siemens entwickelt. Es wird vermutet, dass dieses Programm speziell für die Leittechnik einer bestimmten Anlage im Iran geschrieben wurde, wobei bisher unbekannt ist, welche Anlage genau betroffen sein soll.^[2][3]

Eigenschaften und Besonderheiten

Die außergewöhnlich massive Art seiner Verbreitung

1. unter Ausnutzung verschiedener Sicherheitslücken der Microsoft-Betriebssysteme ab Windows 2000 bis zu Windows 7 oder Windows Server 2008 R2, und
2. die Installation eines Rootkits in diesen Betriebssystemen mit Hilfe gestohlener digitaler Signaturen der taiwanischen Hardware-Hersteller Realtek und JMicron Technology,^[4]
3. seine genauen Kenntnisse des Prozessvisualisierungssystems WinCC zur Überwachung und Steuerung technischer Prozesse mit Simatic S7 (engl. ICS: Industrial Control System) sowie
4. die Installation eines weiteren Rootkits in der Steuerung einer solchen PCS-7-Anlage (SPS, engl. PLC: Programmable Logic Controller)

ist bisher weltweit einmalig.^[5]

Aufgrund der technischen Eigenschaften von Stuxnet wird ein außerordentlicher Entwicklungsaufwand vermutet: Dieser kann bei einer vorhandenen Testumgebung für Hard- und Software sechs Monate gedauert haben. Es wurden etwa fünf bis zehn Haupt-Entwickler und eine unbekannte Anzahl anderer Personen für Qualitätssicherung und Management benötigt. Um die digitalen Signaturen zu erhalten, musste jemand Zugang zu den benachbarten Gebäuden beider Firmen haben. Die Erstinfektion in der Zielumgebung könnte mittels eines USB-Wechsellaufwerks durch einen Dritten willentlich, aber auch unwissentlich geschehen sein.^[6]

Infektionsweg

Erstmals wurde Stuxnet im Juni 2010 von Sergej Ulasen von der weißrussischen Firma VirusBlokAda aufgrund eines Hinweises einer iranischen Vertragsfirma identifiziert. Es kam bei einer dortigen Anlage zu Systemabstürzen und anderen Störungen.^[7] Seitdem wird die Funktionweise des Virus von verschiedenen Herstellern von Sicherheitssoftware diskutiert. Auf der Virus Bulletin 2010 Conference^[8] wurde von Symantec der bisherige Kenntnisstand im W32.Stuxnet Dossier zusammengefasst. Dieser Bericht wird aktualisiert, wenn neue Erkenntnisse vorliegen, siehe unten. Nach diesen Erkenntnissen greift Stuxnet Simatic-S7-Anlagen an, deren Konfiguration bestimmte Eigenschaften aufweist.

Im Allgemeinen werden Simatic-Anlagen mit einem speziellen Notebook, dem „SIMATIC Field PG“ projektiert, in Betrieb genommen und gewartet.^[9] Auf einem solchen Programmiergerät (PG) ist neben dem eigentlichen Betriebssystem weitere Software zur Programmierung mit STEP 7 und zur Prozessvisualisierung mit WinCC vorinstalliert. Außerdem ist das Gerät mit Ethernet-, USB- und PROFIBUS-Schnittstellen ausgerüstet.

Die Projektierung und Entwicklung der HMI-Software (Human-Machine-Interface) findet innerhalb eines Firmen-Netzwerkes (LAN) statt, dessen Internetzugang durch eine Firewall abgesichert ist. Auf einem Field-PG ist dazu mindestens ein STEP-7-Projektordner vorhanden. Die Kopplung mit einer SPS wird softwareseitig durch die Softwarebibliothek der WinCC-DLL (Dynamic Link Library) hergestellt.^[10] Zur Inbetriebnahme, Diagnose und Wartung wird das Field-PG mit der eigentlichen Steuerungsanlage verbunden. Diese ist in der Regel eher selten in einem LAN eingebunden oder gar mit dem Internet direkt verbunden.^[11]

Aufgrund der technischen Eigenschaften von Stuxnet ergibt sich ein mögliches Angriffsszenario:^[6] Nach der Erstinfektion in einem Betrieb versucht Stuxnet sich innerhalb des LANs zu verbreiten, um Field-PGs ausfindig zu machen. Auf diesen werden sowohl alle vorhandenen STEP7-Projektordner als auch die WinCC-Library infiziert. Sobald ein betroffenes PG mit einer geeigneten Steuerungsanlage verbunden wird, versucht Stuxnet deren Programmierung zu verändern. Diese Veränderungen werden vor den Operatoren versteckt, Stuxnet ist also auch ein PLC-Rootkit. Für einen Virus ist das Schadprogramm aussergewöhnlich groß. Es führt allen benötigten Code mit sich, um sich mit einem Peer-to-Peer-Mechanismus selbst updaten zu können, ohne auf eine dauerhafte Internetverbindung angewiesen zu sein.^[12] Zusätzlich gibt es rudimentäre Funktionen, um einem command and control server wie in einem Botnet Rückmeldungen geben zu können (vgl. dazu den Abschnitt Command- und Control-Struktur).

Betriebssystem-Ebene

Um sein Ziel zu erreichen, muss Stuxnet erst einmal in die Nähe des Zielsystems kommen. Dazu wurden mehrere bisher ungepatchte Sicherheitslücken in Windows verwendet, sog. Zero-Day-Exploits. Davon betroffen sind die 32-Bit-Betriebssysteme Win2K, WinXP, Windows 2003, Vista, Windows Server 2008, Windows 7 oder Windows Server 2008 R2. Stuxnet versucht sich auf einem der genannten Systeme zu installieren, sobald ein USB-Speichermedium angeschlossen wird. Dazu wird das fehlertolerante Parsen der autorun.inf durch Windows ausgenutzt. Diese Datei enthält sowohl den eigentlichen Schadcode, als auch an ihrem Ende gültige Autorun-Informationen, nach der die Datei eine ausführbare EXE-Datei ist. Auch wenn die Autostart-Option abgeschaltet wurde, steht im Kontextmenü eine Open-Funktion zur Verfügung, die das manuelle Ausführen des Schadcodes erlaubt.^[13]

Zu Beginn der Infektion prüft Stuxnet zuerst, ob der Rechner schon infiziert ist und wenn ja, ob seine gespeicherten Konfigurationsdaten aktuell sind. Danach prüft er auf ein passendes 32-Bit-System. Je nach Version des Betriebssystems gibt er sich durch zwei verschiedene Zero-Day-Exploits mittels Privileg-Eskalation^[14] Administratorrechte. Bis zur Version Windows XP SP2 verwendet Stuxnet dazu einen Fehler im Kernel-Mode Treiber win32k.sys^[15], bei neueren Versionen benutzt er eine Lücke im Task-Scheduler.^[16] Für die letztere Sicherheitslücke liegt noch kein Patch vor.^[17] Anschliessend versucht Stuxnet seinen Schadcode in installierte Antiviren- und Windows-Systemdienste zu injizieren.^[18][19] Die eigentliche Installation führt Stuxnet danach in einem eigenem, vom kompromittierten System als vertrauenswürdig eingestuften, Prozess aus. Neben anderen Dateien^[20] installiert der Wurm mit Hilfe der signierten Zertifikate auch zwei Treiber-Dateien mrxcls.sys und mrxnet.sys im System, die die weitere Verbreitung von Stuxnet auch nach einem Neustart sicherstellen sollen.

Nach der Installation des Windows-Rootkits stehen Stuxnet mehrere Möglichkeiten zur Verfügung, sich in einem LAN zu verbreiten, in dem nur ein eingeschränkter oder gar kein Internetzugang möglich ist:^[21] Es werden RPC-Server- und -Client-Programme installiert, die die Peer-to-Peer-Kommunikation zwischen mehreren infizierten Rechner erlaubt. Die verschiedenen Stuxnet-Instanzen sind dadurch in der Lage, sich auf eine vorhandene neuere Version zu aktualisieren. Weiterhin versucht sich Stuxnet über die Verzeichnis-Freigaben aller Benutzer eines Computers und der Domäne auf weiteren Computern zu installieren.

Das Virus nutzt eine Sicherheitslücke in der Verwaltung des Druckspoolers („Print Spooler zero-day vulnerabilty“), um Dateien in das %System%-Verzeichnis zu schreiben. Inzwischen hat sich herausgestellt, dass diese Sicherheitslücke von der Zeitschrift Hakin9 zwar schon im April 2009 beschrieben wurde, aber in freier Wildbahn zum ersten Mal von Stuxnet ausgenutzt wurde.^[1][22][23] Diese Lücke wird nur ausgenutzt, wenn das Systemdatum vor dem 1. Juni 2011 liegt.^[21]

Ein Pufferüberlauf im Windows Server Service (WSS)^[24][25] wurde schon von dem Computerwurm Downadup ausgenutzt. Stuxnet verwendet diesen Fehler ebenfalls, um sich per SMB auf weiteren Computern zu installieren. Allerdings müssen dazu bestimmte zeitliche Rahmenbedingungen erfüllt sein:

1. Das aktuelle Datum liegt vor dem 1. Januar 2030.
2. Die jeweiligen Virendefinitionsdateien wurden zuletzt vor dem 1. Januar 2009 aktualisiert.
3. Die Zeitmarken von kernel32.dll und netapi32.dll liegen nach dem 28. Oktober 2008 (Windows Patch Day).^[21]

In einer seit März 2010 nachgewiesenen Version von Stuxnet^[1] wird eine Schwachstelle in der Behandlung von LNK-Dateien^[26][27][28] verwendet, um den Wurm über neu angeschlossene USB-Laufwerke verbreiten zu können, ohne auf eine Netzwerkverbindung angewiesen zu sein. Dazu genügt es, sich den Verzeichnisinhalt des Laufwerks anzeigen zu lassen. Vor einer Installation prüft Stuxnet, ob durch das Laufwerk schon drei Rechner infiziert wurden. In diesem Fall werden die Dateien^[29] vom Laufwerk gelöscht. Außerdem findet nach dem 24. Juni 2012 keine weitere Verbreitung statt. Durch Eingriffe in kernel32.dll und netapi32.dll bleiben diese Vorgänge dem Benutzer verborgen.^[16]

WinCC-Software

Der nächste wichtige Schritt für Stuxnet ist, sich in STEP7-Projektdateien (S7P-Dateien) festzusetzen. Dazu installiert er zwei Hooks im Simatic Manager für PCS 7^[30] s7otbxdx.dll. Es wird jedes Projekt infiziert, das innerhalb etwa der letzten 3,5 Jahre benutzt oder geändert wurde und das einen Ordner wincproj mit einer gültigen MCP-Datei (typischerweise von WinCC erzeugt) enthält. Von einer Infektion ausgenommen werden Projekte, die nach dem Schema \Step7\Examples\* benannt sind.^[21] Indem Stuxnet die Simatic-DLL durch eigenen Code ergänzt, wird sichergestellt, so das auf einem Field-PG letztlich Stuxnet kontrolliert, welche Programme mit welchen Parametern in der angeschlossenen SPS ausgeführt werden.^[10]

Wird auf dem Rechner eine Installation der WinCC-Software gefunden, verbreitet sich Stuxnet mit SQL-Befehlen über die WinCC-Datenbank. Der Zugriff erfolgt über die einprogrammierten Zugangsdaten der jeweils vorgefundenen Simatic-DLL.

Stuxnet besitzt auch die Möglichkeit einer wiederholten Selbstinfektion. Zu diesem Zweck befällt Stuxnet die Entwicklungsumgebung für speicherprogrammierbare Steuerungen Step 7 und legt dabei neue DLLs an, die teilweise verschlüsselt sind. Durch Suchvorgänge beim Laden von Systembibliotheken wird dann eine der modifizierten DLLs geladen, entschlüsselt und dies bewirkt das Laden der ursprünglichen Dateien von Stuxnet. Damit ereignet sich eine neue Infektion, die auch ein vorheriges Löschen der Dateien von Stuxnet wieder kompensiert.^[31]

Eingriff in die SPS

Letzteres ermöglicht Stuxnet auf drei verschiedene Arten in eine angeschlossene SPS einzugreifen:

• Varianten A und B sind für CPUs 6ES7-315-2 (series 300) mit bestimmten, in System-Datem-Blöcken (SDB) definierten Eigenschaften,
• Variante C ist für die CPU-Familie 6ES7-417. Nach den bisherigen Erkenntnissen ist diese Variante allerdings deaktiviert oder nur "teilweise fertig" (Dossier p34)

• Ansteuerung von bis zu sechs Geräten über den PROFIBUS

Command- und Control-Struktur

Nach Untersuchungen von Liam O Murchu sendet Stuxnet Nachrichten an Server, die ihren Sitz in Dänemark und Malaysia haben.^[7]

Verbreitung

Im September 2010 erklärte der iranische Kommunikationsminister Resa Taghipur, dass im Iran rund 30.000 Computer von Stuxnet befallen seien, darunter auch Rechner des Kernkraftwerks Buschehr.^[32] Einer Untersuchung der IT-Sicherheitsfirma Symantec zufolge stehen knapp 60 Prozent der infizierten Rechner in Iran, knapp 20 Prozent in Indonesien, gut acht Prozent in Indien.^[33]

Auch in China hat sich der Wurm laut der staatlichen Nachrichtenagentur Xinhua ausgebreitet, insgesamt sollen sechs Millionen Rechner und etwa 1000 Unternehmensrechner betroffen sein.^[34]

Nach Angaben von Siemens wurde der Wurm in 14 Anlagen gefunden. Schäden hätten jedoch nicht festgestellt werden können.^[35][36] Siemens bietet auf einer speziellen Website Beratung zum Stuxnet-Wurm an.^[37] Von den betroffenen Siemens-Kunden hätten fünf ihren Standort in Deutschland.^[38] Diese seien jedoch bereits wieder virusfrei.^[39]

Vermutungen über die Urheber und Ziele

IT-Sicherheitsspezialisten gehen davon aus, dass Stuxnet gezielt zur Sabotage iranischer Atomanlagen programmiert wurde. Der Aufwand für den Wurm sei gewaltig und teuer gewesen, zudem richte es nur in bestimmten Anlagen Schaden an, andere würden offenbar ohne Schaden lediglich infiziert. Als (unfreiwilliger) Verteiler käme vor allem die russische Atomstroiexport in Frage.^[40]

Laut Wieland Simon (Siemens) müssen an der Entwicklung des Virus Experten und Ingenieure aus ganz unterschiedlichen Bereichen beteiligt gewesen sein – neben Windows-Programmierern auch Fachleute der Automatisierungstechnik und von großen Industrieanlagen. Nur ein solches Team wäre in der Lage einen Schädling zu programmieren, der nacheinander mehrere technisch sehr unterschiedliche Hürden überwindet.^[41]

Aufgrund des großen Programmieraufwandes wird von Jewgeni Kasperski und anderen Fachleuten angenommen, dass der Wurm nicht von Privatpersonen, sondern vermutlich von einer staatlichen Organisation stammt.^[42][43] Auch die hohen Entwicklungskosten für den Wurm, die auf einen 7-stelligen Dollar-Betrag geschätzt werden, sprächen dafür.

Mehrere Teams von Experten fanden im Viruscode Textbausteine, die nahe legen, dass die Angreifer ihr Projekt Myrtus nannten. Der deutsche IT-Sicherheitsspezialist Langner wies als erster auf die mögliche Anspielung auf den ursprünglich hebräischen Namen der Bibelfigur Esther hin. Carol Newsom, Professorin für Altes Testament an der Emory University bestätigte den linguistischen Zusammenhang der hebräischen Wörtern für Myrtus und Esther (Hadassah). Das Buch Esther im alten Testament (hebräische Bibel) erzählt die Geschichte eines geplanten Anschlags der Perser auf die Juden, die Letztere durch einen Erstschlag verhindern konnten.^[44]

In den Medien wurde diese Spekulation als Hinweis auf eine mögliche Urheberschaft Israels gewertet.^[34] Laut Süddeutsche Zeitung halten die meisten Fachleute diese These allerdings für eine Verschwörungstheorie.^[38] Es könnte auch eine falsch ausgelegte Fährte sein.^[39] Shai Blitzblau, technischer Direktor und Chef von Maglan, eine israelische IT-Sicherheitsfirma im Militärbereich, ist überzeugt, dass Israel nichts mit Stuxnet zu tun hat. Er vermutet Wirtschaftsspionage gegen Siemens oder eine Art "akademisches Experiment”.^[44]

Yossi Melman, Journalist der israelischen Tageszeitung Haaretz, hält Israel für den wahrscheinlichen Urheber. Er führt an, dass der Vertrag des Direktors des israelischen Auslandsgeheimdienstes, Meir Dagan, letztes Jahr verlängert wurde, da er in wichtige Projekte involviert sei. Zudem hätte Israel den geschätzten Zeitpunkt, bis Iran eine Atombombe besitzt, überraschend auf das Jahr 2014 nach hinten verschoben.^[44]

Laut einem Artikel der New York Times vom 30. September 2010, behauptet ein ehemaliges Mitglied der United States Intelligence Community, dass der israelische Nachrichtendienst Unit 8200, der mit der NSA vergleichbar ist, den Angriff mit Stuxnet ausgeführt habe.^[45]

Medienberichten zufolge war möglicherweise die iranische Urananreicherungsanlage in Natanz das Ziel der Attacke.^{[46][47][48][49][50][51][52]} Laut geheimen Dokumenten, die über die Internetplattform WikiLeaks an die Öffentlichkeit gebracht wurden, gab es in Natanz im Jahr 2009 einen nuklearen Störfall, der die Produktionskapazität der Anlage um 15 Prozent reduzierte.^[53] Es wird angenommen, dass die Zentrifugen der Anlage durch WinCC-Systeme gesteuert werden.^[47]

Es gibt letztendlich nur vage Hinweise auf das Ziel von Stuxnet. Der Kryptograph Bruce Schneier geht davon aus, dass das wirkliche Ziel von Stuxnet für immer unbekannt bleiben wird.^[54]

Siehe auch

• Cyberwar

Weblinks

• Matthias Kremp: Spektakuläre Virus-Analyse: Stuxnet sollte Irans Uran-Anreicherung stören. Spiegel Online, 16. November 2010, abgerufen am 17. November 2010. 
• Nicolas Falliere, Liam O Murchu, Eric Chien: W32.Stuxnet Dossier. (PDF 3,5 MB) Version 1.3. Symantec, 12. November 2010, abgerufen am 13. November 2010 (englisch). 
• Frank Rieger: Der digitale Erstschlag ist erfolgt. FAZ.NET, 22. September 2010, abgerufen am 10. November 2010. 

Einzelnachweise

1. ↑ ^{a b c} Nicolas Falliere, Liam O Murchu, Eric Chien: W32.Stuxnet Dossier. Timeline. Symantec, 12. November 2010, abgerufen am 13. November 2010. 
2. ↑ Eric Chien: Stuxnet: Target Still Unknown. Symantec, 3. November 2010, abgerufen am 9. November 2010. 
3. ↑ Nicolas Falliere, Liam O Murchu, Eric Chien: W32.Stuxnet Dossier. Executive Summary. Symantec, 12. November 2010, abgerufen am 13. November 2010. 
4. ↑ Costin Raiu: Stuxnet and stolen certificates. In: Securelist. Kaspersky Lab, 20. Juli 2010, abgerufen am 14. Oktober 2010 (englisch). 
5. ↑ Nicolas Falliere, Liam O Murchu, Eric Chien: W32.Stuxnet Dossier. Summary. Symantec, 12. November 2010, abgerufen am 13. November 2010. 
6. ↑ ^{a b} Nicolas Falliere, Liam O Murchu, Eric Chien: W32.Stuxnet Dossier. Attack Scenario. Symantec, 12. November 2010, abgerufen am 13. November 2010. 
7. ↑ ^{a b} Paul Anton Krüger, et al.: Der Wurm und der Luftballon. In: Süddeutsche Zeitung. 2. Oktober 2010. 
8. ↑ vgl. Artikel en:Virus Bulletin
9. ↑ Industrie Notebook SIMATIC Field PG. Siemens AG, abgerufen am 9. November 2010. 
10. ↑ ^{a b} Nicolas Falliere, Liam O Murchu, Eric Chien: W32.Stuxnet Dossier. Modifying PLCs. Symantec, 12. November 2010, abgerufen am 13. November 2010. 
11. ↑ Mohammad Kheirkhah: Bushehr Nuclear Power Plant in Iran. UPI-Photo, 25. Februar 2009, abgerufen am 14. November 2010 (Das Foto veranschaulicht, wie ein Field-PG (der Laptop im Vordergrund) prinzipiell an eine Steuerungsanlage angeschlossen wird. Ein Zusammenhang mit dem Artikel Stuxnet ist rein zufällig.): „Russian technicians work at Bushehr nuclear power plant in the Bushehr Port on the Persian Gulf, 1,000 kms south of Tehran, Iran on February 25, 2009. Iranian officials said the long-awaited project was expected to become operational last fall but its construction was plagued by several setbacks, including difficulties in procuring its remaining equipment and the necessary uranium fuel.“ 
12. ↑ Nicolas Falliere, Liam O Murchu, Eric Chien: W32.Stuxnet Dossier. Stuxnet Architecture. Symantec, 12. November 2010, abgerufen am 13. November 2010. 
13. ↑ Liam O. Murchu: Stuxnet Before the .lnk File Vulnerability. In: symantec.connect. Symantec Corporation, 24. September 2010, abgerufen am 10. November 2010 (englisch). 
14. ↑ vgl. Artikel en:Privilege escalation
15. ↑ Windows Kernel-Mode Drivers Could Allow Elevation of Privilege. Microsoft Security Bulletin MS10-073, 12. Oktober 2010, abgerufen am 18. November 2010 (englisch). 
16. ↑ ^{a b} Nicolas Falliere, Liam O Murchu, Eric Chien: W32.Stuxnet Dossier. Installation. Symantec, 12. November 2010, abgerufen am 13. November 2010. 
17. ↑ Sicherheitsanfälligkeiten in Windows-Kernelmodustreibern können Erhöhung von Berechtigungen ermöglichen. Microsoft Security Bulletin MS10-048, 10. August 2010, abgerufen am 18. November 2010. 
18. ↑ Nicolas Falliere, Liam O Murchu, Eric Chien: W32.Stuxnet Dossier. Infection Statistic. Symantec, 12. November 2010, abgerufen am 13. November 2010. 
19. ↑ Das W32.Stuxnet Dossier nennt Kaspersky KAV, McAfee, Avira AntiVir, BitDefender, eTrust, F-Secure, zwei Symantec-Produkte, ESET, PC-Cillin von Trend Micro, sowie lsass.exe, winlogon.exe und Svchost.exe.
20. ↑ Im W32.Stuxnet Dossier wird aufgezählt:
    • oem7a.pnf das eigentliche Schadprogramm (main payload)
    • %SystemDrive%\inf\mdmeric3.PNF (data file)
    • %SystemDrive%\inf\mdmcpq3.PNF (configuration data)
    • %SystemDrive%\inf\oem6C.PNF (log file)
21. ↑ ^{a b c d} Nicolas Falliere, Liam O Murchu, Eric Chien: W32.Stuxnet Dossier. Stuxnet Propagation Methods. Symantec, 12. November 2010, abgerufen am 13. November 2010. 
22. ↑ CVE-2010-2729: Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability. Symantec Connect, 27. September 2010, abgerufen am 19. November 2010. 
23. ↑ MS10-061: Vulnerability in Print Spooler Service Could Allow Remote Code Execution. Microsoft Security Bulletin, 29. September 2010, abgerufen am 19. November 2010. 
24. ↑ CVE-2008-4250: Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability. Symantec Connect, 9. Februar 2009, abgerufen am 19. November 2010. 
25. ↑ MS08-067: Vulnerability in Server Service Could Allow Remote Code Execution. Microsoft Security Bulletin, 23. Oktober 2008, abgerufen am 19. November 2010. 
26. ↑ CVE-2010-2568: Microsoft Windows Shortcut 'LNK/PIF' Files Automatic File Execution Vulnerability. Symantec Connect, 11. August 2010, abgerufen am 19. November 2010. 
27. ↑ Vulnerability in Windows Shell Could Allow Automatic File Execution. Multi-State Information Sharing and Analysis Center (MS-ISAC), 17. Juli 2010, abgerufen am 19. November 2010. 
28. ↑ Vulnerability in Windows Shell Could Allow Remote Code Execution. Microsoft Security Advisory, 2. August 2010, abgerufen am 19. November 2010. 
29. ↑ Das W32.Stuxnet Dossier listet folgende Dateien:
    • %DriveLetter%\~WTR4132.tmp (Stuxnets Haupt-DLL, ca. 500kB)
    • %DriveLetter%\~WTR4141.tmp (Ladeprogramm für ~WTR4132.tmp, ca. 25kB)
    • %DriveLetter%\Copy of Shortcut to.lnk
    • %DriveLetter%\Copy of Copy of Shortcut to.lnk
    • %DriveLetter%\Copy of Copy of Copy of Shortcut to.lnk
    • %DriveLetter%\Copy of Copy of Copy of Copy of Shortcut to.lnk
30. ↑ Engineering System. Siemens AG, 2910, abgerufen am 20. November 2010. 
31. ↑ Daniel Bachfeld: Stuxnet-Wurm: weitere Tricks im Cyberwar. In: heise Security. 29. September 2010, abgerufen am 30. September 2010. 
32. ↑ Iran bestätigt Cyber-Angriff durch Stuxnet. In: Heise online. 26. September 2010, abgerufen am 26. September 2010. 
33. ↑ Iran wirft Westen Cyber-Propaganda vor. Spiegel Online, 28. September 2010, abgerufen am 30. September 2010. 
34. ↑ ^{a b} Stuxnet Attacken in China. In: Kurier.at. 1. Oktober 2010, abgerufen am 3. Oktober 2010. 
35. ↑ Robert McMillan: Siemens: Stuxnet worm hit industrial systems. URL ungültig In: Computerworld. 14. September 2010, abgerufen am 16. September 2010 (englisch). 
36. ↑ Stuxnet-Wurm kann Industrieanlagen steuern. In: Heise Online. 16. September 2010, abgerufen am 16. September 2010. 
37. ↑ SIMATIC WinCC / SIMATIC PCS 7: Information bezüglich Malware / Virus / Trojaner. Siemens AG, 17. September 2010, abgerufen am 19. September 2010 (englisch, Siemens Stuxnet Support, Beitrags-ID:43876783). 
38. ↑ ^{a b} Gefährliches Schadprogramm: Computer-Virus Stuxnet trifft deutsche Industrie. In: sueddeutsche.de. 2. Oktober 2010, abgerufen am 18. Oktober 2010. 
39. ↑ ^{a b} Computer-Virus für Siemens-SteuerungenStuxnet aus deutschen Anlagen entfernt. SWR, 2. Oktober 2010, abgerufen am 18. Oktober 2010. 
40. ↑ Johannes Kuhn: Stuxnet-Sabotagevirus - "Die Büchse der Pandora ist geöffnet". In: sueddeutsche.de. 1. Oktober 2010, abgerufen am 14. Oktober 2010. 
41. ↑ Andreas Hirstein: «Hier war ein Expertenteam am Werk» - Stuxnet, ein gefährlicher Computerwurm. NZZ, 26. September 2010, abgerufen am 15. Oktober 2010. 
42. ↑ Der „Hack des Jahrhunderts“. "Stuxnet"-Virus legt Iran lahm. In: ORF.at. Österreichischer Rundfunk, 26. September 2010, abgerufen am 30. September 2010. 
43. ↑ Frank Rieger: Trojaner „stuxnet“ – Der digitale Erstschlag ist erfolgt. In: FAZ.NET. 22. September 2010, abgerufen am 30. September 2010. 
44. ↑ ^{a b c} Ethan Bronner & William J. Broad: In a Computer Worm, a Possible Biblical Clue. In: NYTimes. 29. September 2010, abgerufen am 2. Oktober 2010 (englisch). 
45. ↑ John Markoff, Kevin O'Brien: A Silent Attack, but Not a Subtle One. In: New York Times online. 30. September 2010, abgerufen am 15. Oktober 2010 (englisch). 
46. ↑ Adnan Vatandas: Stuxnet: Eine kurze Geschichte. Wordpress, 29. September 2010, abgerufen am 30. September 2010. 
47. ↑ ^{a b} Mark Clayton: Stuxnet worm mystery: What's the cyber weapon after? Yahoo News, 25. Februar 2009, abgerufen am 28. September 2010 (englisch). 
48. ↑ The Stuxnet worm: A cyber-missile aimed at Iran? The Economist, 24. September 2010, abgerufen am 28. September 2010 (englisch). 
49. ↑ Iran Confirms Stuxnet Damage to Nuclear Facilities. Tikun Olam, 25. September 2010, abgerufen am 28. September 2010 (englisch). 
50. ↑ Blake Hounshell: 6 mysteries about Stuxnet. In: Blog.foreignpolicy.com. 27. September 2010, abgerufen am 18. Oktober 2010 (englisch). 
51. ↑ Paul Woodward: Iran confirms Stuxnet found at Bushehr nuclear power plant. Warincontext.org, 26. September 2010, abgerufen am 28. September 2010 (englisch). 
52. ↑ Computerwurm Stuxnet. FAZ.net, 18. November 2010, abgerufen am 19. November 2010. 
53. ↑ Serious nuclear accident may lay behind Iranian nuke chief%27s mystery resignation. wikileaks; abgerufen im 1. Januar 1 
54. ↑ Schneier on Security: Stuxnet