Kaspersky Lab prezinta rezultatele analizei proprii asupra viermelui Duqu

Experţii Kaspersky Lab au identificat un nou modul al viermelui Duqu, reprezentând un cal troian care are funcţionalitatea de a strânge informaţii confidenţiale de pe sistemul infectat şi de a intercepta toate intrările de la tastatură. În cazul lui Duqu, care a fost asemănat viermelui Stuxnet, este îngrijorător faptul că scopul pentru care a fost creat nu a fost identificat încă.

Duqu a fost detectat pentru prima dată la începutul lunii septembrie, după ce un utilizator din Ungaria a încărcat una dintre componentele viermelui pe website-ul Virustotal, care analizează fişiere infectate cu ajutorul soluţiilor informatice ce aparţin mai multor producători, inclusiv Kaspersky Lab.

La scurt timp, experţii Kaspersky Lab au primit, tot prin intermediul Virustotal, o mostră dintr-un alt modul al viermelui. În urma analizei acesteia, s-a putut stabili o asemănare a lui Duqu cu Stuxnet. Îngrijorător în ceea ce priveşte acest vierme este faptul că obiectivul pentru care a fost creat este încă necunoscut.

Deşi între Duqu şi Stuxnet sunt câteva similitudini, există şi unele caracteristici care deosebesc cele două tipuri de malware. La scurt timp după ce au fost identificate mai multe variante ale viermelui Duqu, experţii Kaspersky Lab au început să monitorizeze în timp real încercările de infectare a utilizatorilor prin intermediul Kaspersky Security Network – sistemul cloud inteligent al Kaspersky Lab, care adună şi transferă informaţii în timp real cu privire la malware şi reputaţia fişierelor şi adreselor URL. Surprinzător a fost faptul că, în primele 24 de ore, un singur sistem a fost infectat de Duqu. În ceea ce priveşte Stuxnet, acesta a infectat zeci de mii de sisteme la nivel mondial – cu scopul de a obţine controlul asupra sistemelor utilizate în cadrul programelor nucleare ale Iranului.

Singurul caz cunoscut de infectare cu viermele Duqu în rândul utilizatorilor Kaspersky Security Network a implicat unul dintre modulele care îl compun. Cazuri de infectare cu al doilea modul – care este un program malware de tip cal troian – nu au fost raportate încă. Acest modul este singurul care are funcţionalităţi malware, colectând informaţii despre computerele infectate şi care înregistrează intrările de la tastatură.

Unul dintre misterele nerezolvate în ceea ce îl priveşte pe Duqu este metoda iniţială de penetrare a sistemului – modul prin care acesta se instalează nefiind identificat deocamdată. Cercetările asupra noului modul continuă, acesta fiind, deocamdată,  unica modalitate de a identifica scopul acestui malware.

Toate versiunile Duqu descoperite până în prezent au fost detectate de soluţiile antivirus Kaspersky Lab. Mai multe informaţii despre acest vierme găsiţi pe Securelist, aici:

http://www.securelist.com/en/blog/208193182/The_Mystery_of_Duqu_Part_One

şi aici:

http://www.securelist.com/en/blog/208193178/Duqu_FAQ

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

Leave a Reply