Noi descoperiri despre viermele Duqu

Articol postat de:

images_1319969922

La inceputul lunii septembrie a fost descoperit viermele Duqu, dupa ce un utilizator din Ungaria a incarcat una dintre componentele malware-ului pe Virustotal.Inca de cand a fost identificat, Duqu a fost asemanat viermelui Stuxnet, care a avut ca scop obtinerea controlului asupra sistemelor utilizate in cadrul programelor nucleare ale Iranului. Spre deosebire de Stuxnet, insa, obiectivul pentru care Duqu a fost creat inca nu este cunoscut. Astfel, in timpul fiecarui atac al malware-lui, driverele utilizate pentru a infecta sistemul au fost modificate. De exemplu, intr-unul dintre cazurile de infectare driver-ul utilizat avea o semnatura digitala falsa, pe cand in alte cazuri nu a existat nicio semnatura.

Aceste descoperiri i-au determinat pe cei de la Kaspersky sa il clasifice pe Duqu ca fiind un instrument ale carui caracteristici sunt modificate in functie de tinta vizata.

Asa cum se specifica si in prima parte a analizei, au fost detectate pana in acest moment foarte putine cazuri de infectare, o particularitate care il deosebeste pe Duqu de Stuxnet. Cu ajutorul sistemului de tip cloud Kaspersky Security Network, au fost detectate patru noi sisteme infectate – unul a fost localizata in Sudan, iar celelalte trei in Iran.

In fiecare dintre cazurile de infectare, a fost operata o modificare de driver necesara pentru ca sistemul vizat sa fie penetrat.

Un indiciu foarte important l-a reprezentat o tentativa dubla de infectare a unei retele din Iran, care a incercat sa exploateze vulnerabilitatea din Microsoft Windows, MS08-067, care a fost utilizata si de Stuxnet si un alt malware mai vechi, Kido. Prima tentativa de atac a avut loc pe 4 octombrie, iar a doua pe 16 octombrie si ambele au fost operate de la o adresa IP, care a apartinut in trecut unui ISP din Statele Unite. Faptul ca ambele tentative de atac au avut o tinta din Iran, pare sa indice ca obiectivul lui Duqu este situat in aceasta tara.

Sursa: Kaspersky