Платим блогерам
Редакция
Новости Software jMeirou

реклама

Лаборатория Касперского обнаружила следы заражения новым трояном Duqu в Судане и, что более важно, в Иране - стране, которая являлась основной целью другого опасного вредоносного ПО Stuxnet. На прошлой неделе венгерская исследовательская лаборатория Crysys поделилась своим анализом новой угрозы с ведущими поставщиками антивирусных решений.

По всей видимости, Duqu очень тесно связан с червём Stuxnet, который в своё время был разработан для ведения промышленного шпионажа. От своего предка Duqu унаследовал некоторую функциональность и участки кода. При этом сам Duqu представляет собой гибкий фреймворк, целью которого является извлечение данных из компьютерных сетей различных компаний.

реклама

Основной модуль трояна состоит из трёх компонентов: 1) драйвера ядра, который инжектирует вредоносную DLL в системные процессы; 2) самой DLL, отвечающей за связь с командным сервером и за другие системные операции, вроде записи в реестр и запуска исполняемых файлов; 3) и конфигурационного файла.

Второй модуль трояна представляет собой кейлогер, способный также красть информацию из файлов. Этот кейлогер был обнаружен в версии Duqu, которая была загружена на сайт VirusTotal 9 сентября. О том, когда именно троян появился на просторах сети, ничего не известно.

Со времени загрузки трояна на VirusTotal Лаборатория Касперского обнаружила несколько вариантов Duqu, некоторые из них были обнаружены на компьютерах в Судане и Иране и созданы 17 октября. "Мы знаем, что существуют, по крайней мере, 13 различных файлов драйверов (у нас есть только 6)", - поясняют исследователи из Лаборатории Касперского.

Каждый из четырёх случаев обнаружения трояна на иранских компьютерах интересен сам по себе. В одном эпизоде было заражено два компьютера, расположенных в одной сети, при этом драйверы Duqu на этих компьютерах отличались. В другом эпизоде было зарегистрировано две атаки, в процессе которых имела место попытка использовать те же уязвимости, что используются и червями Stuxnet и Conficker. Стоит также отметить, что исследователи пока не знают, как именно Duqu попадает на заражаемые им системы.

"Duqu используется для направленных атак на тщательно отобранных жертв", - говорят исследователи Касперского. Однако пока нет данных о том, что жертвы трояна имеют какое-то отношение к иранской ядерной программе, центрам сертификации или каким-то конкретным промышленным организациям.

Интересно то, что каждый случай заражения Duqu уникален и приводит к появлению своих компонентов под различными именами и с различными контрольными суммами. "Анализ драйвера igdkmd16b.sys показывает использование нового шифрующего ключа, что говорит о бесполезности существующих методов обнаружения известных файлов PNF (основной DLL). Очевидно, что DLL шифруется по-разному при каждой атаке", - сообщили исследователи.

Благодаря тому, что архитектура Duqu очень гибкая, он может себя обновлять, обращаться к различным управляющим серверам и устанавливать дополнительные компоненты в любое время. Интересно, что исследователям из Лаборатории Касперского не удалось обнаружить оригинальный модуль кейлогера ни на одном из инфицированных компьютеров в Судане или Иране, что, вероятно, говорит о том, что этот модуль был либо по-новому зашифрован, либо заменён на другой.

"Мы не можем исключить возможность того, что уже известный командный сервер в Индии был использован только в первом известном эпизоде заражения [...] и что существуют уникальные командные серверы для каждой цели, включая цели, обнаруженные нами", - отмечают исследователи. Они также полагают, что люди, разрабатывающие Duqu, следят за развитием событий и не намерены прекращать свою деятельность.

Показать комментарии (2)

Сейчас обсуждают