Posted by MinO | 0 comments

Virus Alert: Προσοχή στο Duqu



Το worm με την κωδική ονομασία Duqu, το οποίο φέρεται να αποτελεί μετεξέλιξη του διαβόητου Stuxnet malware, έχει ήδη αρχίσει να μολύνει υπολογιστές σε διάφορα μέρη του κόσμου. Οι ειδικοί των Kaspersky Labs το έχουν εντοπίσει σε PCs που βρίσκονται στο Σουδάν και το Ιράν.

Η παρουσία του Duqu στο Ιράν ενισχύει την άποψη που λέει ότι Duqu και Stuxnet είναι οι δύο όψεις του ίδιου νομίσματος. Υπενθυμίζεται ότι το Stuxnet worm μόλυνε τις πυρηνικές εγκαταστάσεις του Ιράν στην πόλη Ντουσέρ το 2010, με αποτέλεσμα να σταματήσουν οι εργασίες στο περσικό εργοστάσιο.

Σύμφωνα με τους αναλυτές της Kaspersky, το βασικό module του Duqu αποτελείται από τρία μέρη:
1) τον kernel driver που ρίχνει μια rogue library στα system processes,

2) το καθ' εαυτό DLL που χειρίζεται μεταξύ άλλων την επικοινωνία με τον command & control (C&C) server

3) το configuration file.
Επιπλέον, υπάρχει και το δευτερεύον module, το οποίο έχει τη μορφή keylogger με δυνατότητα υποκλοπής πληροφοριών.

Η αρχιτεκτονική του Duqu είναι ιδιαίτερα ευέλικτη, γεγονός που του επιτρέπει να αυτο-αναβαθμίζεται, να αλλάζει C&C server και να εγκαθιστά επιπλέον στοιχεία ανά πάσα στιγμή. Ουδείς μπορεί να πει αυτή τη στιγμή ποια είναι η προέλευσή του, αν όμως σχετίζεται άμεσα με το Stuxnet, οι μυστικές υπηρεσίες των ΗΠΑ και του Ισραήλ είναι στην κορυφή της λίστας των υπόπτων.

[via]

0 comments: