Вредоносное ПО Duqu использует в своей работе ранее неизвестную уязвимость в Windows

3 ноября 2011 - Администратор

Согласно данным венгерских ИТ-специалистов, сетевой червь Duqu использует для кражи закрытых данных прежде неизвестную уязвимость в ядре Microsoft Windows. Уязвимость "нулевого дня" вызывается при помощи специально сконструированного Word-файла, образцы которого были обнаружены и исследованы венгерской лабораторией CrySyS (Laboratory of Cryptography and System Security).

Напомним, что ранее компания Symantec провела первый широкий анализ кода Duqu, заметив, что данный вредоносный код предназначен для атаки промышленных объектов, причём за написанием Duqu и нашумевшего червя Stuxnet, скорее всего, стоят одни и те же люди. В Crysys.hu говорят, что обнаруженные ими образцы червя "определённо направлены на получение промышленных данных".

В то же время, в подразделении Dell SecureWorks говорят, что также провели анализ работы Duqu и полагают, что коды Stuxnet и Duqu имеют мало что общего, более того, за реальным написанием последнего могут стоять совершенно другие люди, которые, впрочем, также ориентированы на получение промышленных данных. В компании Dell говорят, что Duqu представляет собой вредонос, состоящий из двух частей, созданных по аналогии с тем, как работают многие руткиты. При попадании в систему он пытается подгрузить набор зашифрованных DLL-файлов, которые работают как драйвер уровня ядра. Для установки в систему драйверы используют краденные сертификаты тайваньской компании JMicron.windows_zero_day_exploit.png

Алгоритм работы Duqu (по версии Symantec)

После полного развертывания в системе, Duqu уже не использует каких-либо уязвимостей и просто работает как системный компонент. Опасность заключается в том, что антивирусные компании пока не могут вычислить основную цель Duqu и типы атакуемого оборудования. В случае со Stuxnet было понятно, что червь атакует оборудование Siemens на атомных станциях в Иране, США, России и Израиле.

Также в компании Dell SecureWork полагают, что уязвимости, используемые Duqu, не будут устранены в следующий вторник корпорацией Microsoft, которая планирует выпустить ноябрьский набор патчей для своих продуктов.

"Базовые цели Duqu и его происхождение пока остаются загадкой, странно также и то, что он зачастую используется в массовых рассылках, хотя предназначен для таргетированных атак", - говорят в Dell SecureWorks.

Ранее "Лаборатория Касперского" опубликовала данные, согласно которым первые следы Duqu были обнаружены в Венгрии в начале октября. Позже появились данные, что Duqu в первую очередь начал атаковать промышленные объекты в Судане и Иране, хотя антивирусная компания заявляет, что это ещё не говорит об ориентированности Duqu именно на эти страны.

Также в Symantec сообщили, что если первые версии Duqu пытались общаться с коммуникационными серверами на территории Индии (сейчас эти серверы уже отключены полицией), то последние версии Duqu, реализованные при помощи документа Word, уже пытаются связываться с выделенными серверами в Бельгии. Вчера бельгийские серверы также были отключены.

Похожие статьи:

Новости мираРяд крупных сайтов в Рунете стали жертвами хакеров

Жизнь городаСвердловский МЧС ЛНР предупреждает: Соблюдайте правила поведения на воде!

Жизнь городаВ Украине зафиксировано 219 случаев отравления несъедобными грибами

Соседние статьи:


Рейтинг: 0 Голосов: 0 3613 просмотров
Комментарии (0)

Нет комментариев. Ваш будет первым!

Система Orphus


Flag Counter

Случайная картинка
Последние фотографии