Sunday, October 30, 2011

Duqu – Stuxnet 2


Специалисты по компьютерной безопасности обнаружили признаки того, что миру угрожает новый вирус, по типу близкий к известному вирусу Stuxnet, который поставил под угрозу срыва иранскую ядерную программу.


Ниже есть продолжение.


Новый вирус получил название Duqu и его цель состоит в сборе информации. Его код почти идентичен коду вируса Stuxnet. Это означает, что оба вируса имеют один источник.

...Вирус Duqu получил свое название из-за префикса DQ, который он обычно присваивает создаваемым им файлам...Duqu был обнаружен на ряде компьютеров в европейских компаниях и организациях. Он самоликвидируется через 36 дней. Обнаружили вирус специалисты компании Symantec, производящей антивирусные программы.

...В отличие от своего прототипа Stuxnet, Duqu предназначен не столько для непосредственных вредоносных действий в зараженной системе, сколько для организации канала доставки и установки в систему дополнительных троянских модулей...

...Как и Stuxnet, Duqu использует легальный цифровой сертификат (средство, "убеждающее" компьютер в том, что файл, подписанный сертификатом, безопасен), который был либо похищен, либо сфальсифицирован хакерами.

Изначально было известно лишь о версии вируса, которая "подписывалась" сертификатом от компании C-Media. Позже появились еще три версии вируса, которые "представлялись" системе как драйвер компаний JMicron, IBM и Adaptec Inc.

Все три версии появились с небольшим временным интервалом и были написаны таким образом, что большинство антивирусов не могли их обнаружить...Появление новых версий говорит о том, что авторы Duqu тщательно следят за развитием ситуации и оперативно реагируют на изменения...

..."В отличие от вируса Stuxnet, Duqu не содержит кода для проникновения в системы управления и не размножается самостоятельно", - говорится в заявлении компании.

Иными словами, этот вирус создан не для нападения на компьютерные сети промышленных объектов типа иранского завода с центрифугами по обогащению урана, а для сбора информации, которая может быть использована для последующих диверсий.

Главный технолог компании Symantec Грег Дэй сообщил...что Duqu очень сложный вирус.

"Это не вирус, написанный подростком, в нем используется самая современная технология, а это означает, что его создал кто-то, кто имел в виду совершенно конкретное его применение", - считает он.

...В «Лаборатории Касперского», основываясь на данных системы Kaspersky Security Network, анализирующей информацию зараженных компьютеров, констатируют инциденты, связанные с заражением Duqu в основном двух странах: в Судане и особенно массовые в Иране. При этом в «Касперском» подчеркивают, что не располагают информацией о заражениях Duqu в Австрии, Великобритании, Индонезии и США...

...
Обнаружение вируса Stuxnet полностью изменило ситуацию в области компьютерной безопасности и вынудило многие страны пойти на укрепление защиты своих жизненно важных промышленных объектов, в частности, в энергетике и водоснабжении.

Эксперты, которые изучали вирус Stuxnet, пришли к выводу, что он был создан специально с целью повреждения электродвигателей центрифуг, используемых для обогащения урана, заставляя их раскручиваться с запредельной скоростью.

Иран признал, что некоторые из его центрифуг подверглись саботажу, хотя он постарался приуменьшить роль в этом компьютерного вируса...

http://www.bbc.co.uk/russian/science/2011/10/111019_new_virus_duqu.shtml
http://txt.newsru.co.il/world/19oct2011/duqu8015.html
http://safe.cnews.ru/news/top/index.shtml?2011/10/26/462015
https://blogs.mcafee.com/mcafee-labs/the-day-of-the-golden-jackal-%E2%80%93-further-tales-of-the-stuxnet-files
http://www.f-secure.com/weblog/archives/00002255.html
http://www.digit.ru/it/20111020/385293263.html
http://www.symantec.com/connect/w32_duqu_precursor_next_stuxnet

Technical papers:

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_duqu_the_precursor_to_the_next_stuxnet.pdf
http://blogs.mcafee.com/wp-content/uploads/2011/10/Duqu1.pdf

No comments:

Post a Comment