Сходство недавно выпущенного Duqu и знаменитого червя Stuxnet, вызвавшего
всеобщий переполох более года назад, сильно преувеличено. К такому выводу пришла
компания Dell SecureWorks.

Ключевым моментом анализа явилось то, что, несмотря на схожие черты, Duqu и
Stuxnet были созданы для выполнения разных задач. Один имел очень конкретные
цели, другой – более общие.

Оба образца имеют руткитоподобные элементы, включая способ реализации
драйвера уровня ядра и загрузки зашифрованных DLL файлов. Поразительно, но оба
зловреда используют сертификат драйвера от одной и той же тайваньской компании,
JMicron, для одного из своих файлов ядра.

"Общий сертификат подписи не является доказательством родства образцов, ибо
сертификаты подписи можно получить из различных источников", —  сказали
исследователи. "Чтобы сделать окончательный вывод в пользу родства зловредов,
нужно сначала доказать, что сертификаты для них получены из одних и тех же
источников".

Stuxnet разрабатывался для атак на специфические системы ПО, вроде тех,
которые используются для промышленного контроля. А действия Duqu больше походят
на действия обычного трояна в связке с кейлоггером, хотя и очень продвинутым.

В отличие от Stuxnet, Duqu не использует уязвимостей нулевого дня и не
способен размножаться (из-за чего Stuxnet и стал популярен именно как червь).
Что самое важное, Duqu, с точки зрения Dell SecureWorks, не выбирает своей целью
какой-то специфический сектор, что значительно снижает вероятность того, что он
задумывался как низкоуровневый нацеленный зловред, и не дает повода называть его
продвинутой постоянной угрозой.

"Можно спекулировать на тему единого источника в компоненте инжектирования.
Но доказательства этого в лучшем случае косвенные, и не способны подтвердить
прямую связь".

Если коротко, все сходства – это, скорее всего, лишь случайное стечение
обстоятельств. И они являются показателем того, что зловреды создаются похожими
друг на друга в угоду более эффективным методам атак.

Основанием для подозрения Duqu является тот факт, что его методы заражения до
сих пор остаются тайной. Это очень странно для массовой вредоносной программы,
которая очень часто использует e-mail и drive-by атаки на сайты. Исследователям
еще предстоит найти программу установки, которая поможет больше узнать о
происхождении Duqu. Duqu удаляется через 36 дней после установки, что также
очень необычно.

Symantec на прошлой неделе
опубликовал анализ в
котором утверждается, что оба зловреда делят общий исходный код, что говорит о
том, что их создатели, как минимум, имели доступ к одной и той же кодовой базе.
Компания также утверждает, что Duqu атаковал компании того же секторе, что и
Stuxnet, однако данные, которые могли бы это доказать, очень скудны.



Оставить мнение