ESET разработали алгоритм определения точного времени заражения системы вирусом Duqu
Команда исследователей ESET восстановила алгоритм шифрования конфигурационных файлов Duqu, а также его формат.
Сотрудники компании ESET разработали алгоритм определения точного времени проникновения вируса Duqu на систему. Напомним, что Duqu – это вредоносная программа, заразившая корпоративные сети ряда предприятий в Европе и на Среднем Востоке. Подробное изучение кода червя показало, что его разработали авторы вируса Stuxnet, нанесшего серьезный урон ядерной промышленности Ирана. В Duqu был обнаружен модуль дроппера, способный по команде из удаленного сервера загружать дополнительные компоненты. Один из таких компонентов, обнаруженный в корпоративной сети европейской компании, оказался кейлоггером. Этот кейлоггер в ходе своей работы создавал файлы с префиксом «dq» в названии, из чего и появилось название основного модуля зловреда – «Duqu».
Директор Центра вирусных исследований и аналитики ESET Александр Матросов заявил, что сразу после появления в распоряжении компании вируса семейства Win32/Duqu, его исследовательское подразделение сразу сконцентрировалось на детальном анализе этой угрозы. Сходство нового червя с Stuxnet стало стимулом к повышенному интересу со стороны исследователей компании.
Сотрудники ESET восстановили алгоритм шифрования конфигурационных файлов Duqu, а также его формат. При этом исследователи разработали методику, с помощью которой удалось определить точную дату проникновения вируса на систему, «что особенно важно при проведении криминалистической экспертизы при инцидентах, связанных с заражениями компьютеров на промышленных предприятиях».
«На исследуемых нами образцах нам удалось установить даты заражения: первый набор показал дату 11/08/2011 (07:50:01), а второй - 18/08/2011 (07:29:07). Интересно, что время заражения системы Duqu практически идентично, но с разницей в одну неделю. При этом извлеченные образцы были из разных мест, что может говорить о том, что была проведена группа целенаправленных атак, однако пока их точная мотивация неизвестна», - заявил Александр Матросов.
Основная цель распространения Duqu пока неизвестна. Сотрудники «Лаборатории Касперского» сравнили основной модуль Duqu с «ракетоносителем». Способность загружать дополнительные модули, то есть «боеголовки», делает его особенно опасным, так как невозможно предугадать, какая именно атака будет нанесена с помощью вируса.
Ознакомиться с уведомлением компании ESET можно здесь.
Устали от того, что Интернет знает о вас все?