Уже давно могли начаться работы над Duqu

Как сообщают из «Лаборатории Касперского», они уже близки к разгадке хронологии появления Duqu, вредоносного кода, а также близки к установлению личностей авторов этого кода. Как считают эксперты, какая-то часть целей Duqu была поражена еще с апреля 2011 года.

При этом была использована уязвимость CVE-2011-3402. Приблизительно в это же время поступило сообщение от иранских властей о выявлении серьезной кибератаки с помощью вредоносного программного обеспечения Stars. Некоторые специалисты считают, что программное обеспечение Stars представляло собой как раз раннюю версию Duqu. Если данные предположения действительно верны, то в полнее может быть, что главная задача кода Duqu – шпионаж с целью получения данных об иранской ядерной программе. Корпорация Microsoft создала временный патч для того, чтобы обнаружить уязвимость. Обновление, которое обеспечит полное решение этой проблемы, будет доступно позже. На сегодняшний же день продукты «Лаборатории Касперского» успешно блокируют все вредоносные программы, которые используют CVE-2011-3402, а также предотвращают эксплуатацию этой уязвимости киберпреступниками. Главный антивирусный эксперт «Лаборатории Касперского», Александр Гостев, рассказывает, что были сопоставлены данные, которые обнаружила лаборатория, вместе с данными других знающих исследователей и антивирусных компаний. Сопоставив все эти данные, были обнаружены общие характерные черты, которые немного раскрывают общую схему и приблизительную хронологию событий, по которой действовали авторы Duqu. В ходе исследования получилось выяснить, что распространяли данную вредоносную программу через обычную электронную почту. Так, человек получал письмо, к которому прилагался doc-файл с эксплойтом уязвимости и инсталлятором троянца.

Подобная рассылка впервые была проведена в апреле 2011 года. Драйвер, который загружается в ядро системы эксплойтом, имеет дату компиляции – 31 августа 2007 года. Это означает, что создатели Duqu могли работать над созданием этого проекта уже более четырех лет. Каждая атака программы Duqu была уникальной, код имел определенную жертву, индивидуальный набор файлов, контроль же за деятельностью троянца осуществлялась каждый раз с разных серверов. После того, как система была заражена, происходила установка и загрузка дополнительного модуля, который предназначен для сбора данных о системе, поиска файлов, снятия скриншотов, перехвата паролей и многих других функций. В настоящее время специалисты «Лаборатории Касперского» обнаружили не менее 12 уникальных наборов файлов кода Duqu. Исследование этих и других наборов до сих пор усиленно продолжается.



Опубликовал admin
26 Ноя, Суббота 2011г.



Программирование для чайников.