По данным компании Symantec, опасный троян Duqu заражает системы, используя ранее не известную уязвимость в ядре Windows. В своём блоге Symantec сообщила, что венгерская исследовательская фирма CrySys, обнаружившая Duqu в прошлом месяце, идентифицировала файл-установщик трояна.

Этот файл представляет собой документ Microsoft Word, созданный таким образом, чтобы использовать уязвимость нулевого дня в ядре Windows для исполнения вредоносного кода, который затем загружает и устанавливает основные файлы Duqu на скомпрометированную систему.

По информации от Symantec, вредоносный документ Word был создан специально для конкретной организации, причём создан он был таким образом, чтобы установить Duqu на компьютеры этой организации в определённый восьмидневный период в августе.

На данный момент не существует способа самостоятельно изолировать обнаруженную уязвимость, которую использует Duqu. Обнаруженный установщик (файл Word) является одним из нескольких установщиков, которые могут использоваться для распространения этого трояна. По мнению Symantec, вполне возможно, что кроме документов Word могут использоваться и другие методы распространения.

После того, как троян попадает в организацию, ему могут удалённо дать команду на дальнейшее распространение. Так, в одной из шести организаций, заражённых этим трояном, Duqu получил команду на распространение в локальной сети по протоколу SMB.

На некоторых компьютерах вредоносная программа не имела возможности связаться с командным сервером и самостоятельно пыталась найти другой заражённый компьютер, у которого такая возможность была. "Таким образом Duqu создаёт связи между внутренними серверами сети и командным сервером. Это позволяло атакующим получить доступ к инфицированным Duqu компьютерам в безопасной зоне", - поясняют в Symantec.

Исследователи на данный момент обнаружили два командных сервера, использовавшихся для связи с компьютерами, заражёнными Duqu. Один из них расположен в Индии, другой - в Бельгии. Оба сервера уже обезврежены.

По данным Symantec, заражению подверглись шесть организаций в восьми странах - Франции, Индии, Иране, Нидерландах, Швейцарии, Судане, Украине и Вьетнаме. Неподтверждёнными остаются сообщения о заражениях в Венгрии, Индонезии и Великобритании.

Джерри Брайан, руководитель группы Trustworthy Computing компании Microsoft, сообщил, что работа по закрытию уязвимости уже идёт. "Microsoft сотрудничает со своими партнёрами с целью предоставления защиты от уязвимости, используемой в целенаправленных попытках заразить компьютеры вредоносным кодом Duqu", - сообщил Брайан. По его словам, для закрытия уязвимости компания выпустит соответствующее обновление безопасности.

По мнению Дона Джексона, исследователя из компании Dell SecureWorks, из описания Symantec неясно, где именно присутствует уязвимость - в ядре Windows, в Word или и там и там. Обнаружение и использование уязвимости нулевого дня в ядре Windows предполагает наличие довольно высокого уровня технической подготовки у разработчиков Duqu и их неплохое финансирование. Джексон отметил, что в подпольных магазинах информация об уязвимостях в ядре Windows может стоить свыше $10000.