ЛК: «Родственник» Stuxnet способен загружать дополнительные вирусные компоненты
По данным ЛК, вирус Duqu может загружать дополнительные модули, способные вмещать любой функционал.
Эксперт «Лаборатории Касперского» (ЛК) Александр Гостев поместил в блоге компании публикацию, в которой приводится подробная информация о недавно появившемся трояне, имеющим сильное сходство с Stuxnet. Напомним, что ряд европейских компаний, часть из которых занимается промышленным производством, обнаружили на своих системах вирусные программы, имеющие сходство с червем, поразившим предприятия Ирана.
По данным ЛК, обнаруженный троян имеет в своем составе три основных компонента. Среди них драйвер (осуществляющий внедрение файлов библиотек в системные процессы), библиотеки (содержащие дополнительный модуль и взаимодействующие с командным сервером) и файл конфигурации. Именно эти три компонента выдают в вирусе «родственность» с Stuxnet. При этом Гостев подчеркивает, что название Duqu к основному модулю не имеет абсолютно никакого отношения.
Слово Duqu относится ко второй программе, являющейся кейлоггером. Цель данной программы состоит в сборе дополнительной информации о зараженной системе. Троян был обнаружен на одной из систем, инфицированных основным модулем. Специалисты установили способность основного модуля загружать дополнительные компоненты, на основании чего было сделано предположение, что кейлоггер связан именно с ним. Собранные данные троян-шпион помещает в файлы с названиями типа DQx.tmp. Именно эти названия дали имя основному модулю – «Duqu».
Исследование показало, что код трояна-шпиона имеет сходство с основным модулем Duqu, однако, как основной модуль может работать без трояна, так и дополнительный троян может работать без основного модуля.
Еще при появлении Stuxnet в ЛК пришли к выводу, что данный червь состоит из «платформы-носителя» и отдельного модуля, отвечавшего за работу PLC. При этом структуру вируса сравнивают с ракетой, состоящей из разгонного модуля (тела червя) и боеголовки (PLC). Также было выражено предположение о том, что Stuxnet мог быть создан двумя отдельными группами разработчиков, не подозревавших о существовании друг друга, и о цели проекта.
Основным неразрешенным вопросом, над которым сейчас работают сотрудники многих компаний-производителей антивирусов, является способ распространения основного модуля Duqu. До сих пор не было обнаружено файл-дроппер, через который вирус попадает на систему.
Подробно ознакомиться с публикацией экспертов "Лаборатории Касперского" можно здесь.
Цифровые следы - ваша слабость, и хакеры это знают.