Вирус
Duqu, который использовался для кражи критических данных прямо у
производителей, в настоящее время пользуется как минимум одной из ранее
неизвестных уязвимостей ядра Microsoft Windows, объявил один венгерский ученый.
0day уязвимость возникает благодаря специальному документу Word, который
совсем недавно обнаружили исследователи Лаборатории Криптографии и Системной
Безопасности, CrySyS. На своей официальной
странице компания
опубликовала "голые факты", а исследователи из Symantec тщательно изучили их
здесь. Word-документ "определенно предназначался компьютерам определенных
организаций", пришли к заключению специалисты Symantec.
Эта особенность Duqu вызвала большой резонанс сразу после того, как две
недели назад было объявлено об его обнаружении, потому что, согласно CrySyS и
Symantec, его код был выведен из кода Stuxnet, который использовался для
разрушения ядерной программы Ирана. Обновление, которое опубликовали во вторник,
содержало в себе некоторые моменты, не затронутые в начальном докладе, включая
то, каким образом вирус заражал компьютер, что было его целью, а также что
конкретно входило в его "обязанности".
Также представлены новые подробности, подтверждающие заявления о том, что
данный вирус предназначен для определенной цели.
Согласно Symantec, установочным файлом Duqu был документ Microsoft Word,
который использовал неизвестную уязвимость ядра системы, которая позволяет
выполнитьпроизвольный код. Если открыть документ, начнется установка трояна Duqu,
который позволяет удаленно наблюдать за зараженными системами.
Эта схема был показывает, как Word документ использует системы Windows
Исследователи Microsoft вместе с партнерами работают над тем, чтобы защитить
пользователей Windows от этой атаки, и произойдет это уже с обновлением базы
системы безопасности, сказано в заявлении компании. Кроме стандартных правил
безопасности, таких как не открывать подозрительные файлы, прикрепленные к
электронным письмам, на данный момент не существует никаких рекомендаций для
защиты пользователей от этого вируса.
Интересно и то, что код документа Word гарантировал, что Duqu будет
установлен в августе для того, чтобы скрыть атаку или минимизировать вред,
который мог быть нанесен. Как сообщалось ранее, двоичный код трояна был
сконфигурирован на 36 дней работы, после чего он должен был автоматически
удалиться из зараженной системы.
Как минимум одна организация, которая подверглась атаке, предъявила
доказательства того, что Duqu способен распространяться посредством
SMB-соединений, используемых для передачи файлов между разными компьютерами.
Даже когда некоторые из недавно зараженных компьютеров не были подключены к
интернету, вирус все еще мог взаимодействовать с контрольными серверами. Для
этого использовался код, позволяющий устанавливать связь с центром через
зараженные компьютеры, которые имели выход в Сеть.
"Это позволило хакерам внедрить вирус в зоны безопасности с помощью
зараженных компьютеров, находящихся вне их пределов, но используемых в качестве
прокси", - исследователи Symantec написали в своем докладе.
Исследователи также указали, что Duqu заразил шесть организаций в восьми
странах, включая Францию, Голландию, Швейцарию, Украину, Индию, Иран, Судан и
Вьетнам. Возможно, эта цифра окажется меньшей. Некоторые организации
прослеживаются только по ISP, которым пользуются, поэтому некоторые из шести
организаций, возможно, были одним целым.
Исследователи Symantec также обнаружили и второй командный сервер, который
некоторые версии Duqu использовали для связи с оператором. Он также находился в
Бельгии и использовал IP-адрес 77.241.93.160. Ранее считалось, что Duqu
используется только один сервер, который находится в Индии. Оба сервера были
выключены.
В то время как исследователи CrySyS и Symantec говорят, что Duqu содержит в
себе технические признаки, доказывающие, что он был придуман разработчиками
Stuxnet, исследователи Dell
SecureWorks не соглашаются с этим. Все сходства содержатся только в одном из
компонентов, который использовался для инъекции кода в ядро Windows, говорится в
докладе, опубликованном на прошлой неделе. Начинка, как сказано в докладе,
"принципиально отличается от Stuxnet".
Symantec исправил один момент в предыдущей публикации. Ранее говорилось, что
Duqu заряжал организации, связанные с производством промышленных систем
контроля. В обновлении же говорится, что термин SCADA был использован
некорректно. Компания заявляет, что Duqu нацелен на "промышленные организации".
