È un worm che si diffonde in tutti i dischi rimuovibili. Il malware rilascia dei file collegamento (.LNK) che si avviano automaticamente quando si accede al disco usando un’applicazione che mostra le icone dei collegamenti (per esempio, Windows Explorer).

Può infettare i sistemi operativi Microsoft: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows 7.

Allo scopo di evitare che nella memoria di sistema siano attive più istanze di se stesso, il worm crea un mutex con un nome scelto a caso, per esempio "FJKIKK" o "FJGIJK". Il Trojan apre o crea anche uno o più dei seguenti mutex

• @ssd[NUMERO ESADECIMALE A CASO]
• Global\Spooler_Perf_Library_Lock_PID_01F
• Global\{4A9A9FA4-5292-4607-B3CB-EE6A87A008A3}
• Global\{5EC171BB-F130-4a19-B782-B6E655E091B2}
• Global\{85522152-83BF-41f9-B17D-324B4DFC7CC3}
• Global\{B2FAC8DC-557D-43ec-85D6-066B4FBC05AC}
• Global\{CAA6BD26-6C7B-4af0-95E2-53DE46FDDF26}
• Global\{E41362C3-F75C-4ec2-AF49-3CB6BCA591CA}

Il malware rilascia anche i seguenti file in tutti i dischi rimuovibili

• ~wtr4132.tmp – rilevato come TrojanDropper:Win32/Stuxnet.B
• ~wtr4141.tmp – rilevato come Worm:Win32/Stuxnet.B

Il worm rilascia anche uno dei seguenti file .LNK che punta a "~wtr4141.tmp" o "~wtr4132.tmp"

• "Copia del collegamento a .Ink"
• "Copia della Copia del collegamento a .Ink"
• "Copia della Copia della Copia del collegamento a .Ink
• "Copia della Copia della Copia della Copia del collegamento a .Ink"

I file .LNK vengono rilevati come Exploit:Win32/CplLnk.A.

Il worm installa anche i seguenti componenti Stuxnet

• %SysDir%\mrxcls.sys – rilevato come Trojan:WinNT/Stuxnet.A
• %SysDir%\mrxnet.sys – rilevato come Trojan:WinNT/Stuxnet.B

A seconda della versione del sistema operativo, le cartelle "c:\windows" e "c:\windows\system32" possono variare ("c:\winnt", "c:\winnt\system32", "c:\windows\system").

Per avviare i componenti rilasciati come servizi, il worm crea le seguenti chiavi di Registro

HKLM\SYSTEM\CurrentControlSet\Services\MRxCls

HKLM\SYSTEM\CurrentControlSet\Services\MRxNet

Il malware installa i driver così da essere eseguito automaticamente ogni volta che un dispositivo multimediale come un disco USB viene collegato al computer infettato.

Il worm può iniettare il suo codice all’interno dei seguenti processi

• explorer.exe
• services.exe
• svchost.exe
• lsass.exe

Il codice iniettato contiene dei link relativi a siti per le scommesse online sul calcio

• www.mypremierfutbol.com
• www.todaysfutbol.com

Il worm crea anche i seguenti file dati codificati

• %windir%\inf\mdmcpq3.pnf
• %windir%\inf\mdmeric3.pnf
• %windir%\inf\oem6c.pnf
• %windir%\inf\oem7a.pnf

Questi file vengono decodificati e caricati dal codice iniettato

Il worm si connette a un server remoto da cui è possibile compiere le seguenti azioni sul computer infettato

• Terminare processi
• Eseguire query SQL
• Connettersi a determinati siti Web
• Scaricare e eseguire file
• Inviare informazioni