ΑρχικήsecurityΤο οδοιπορικό των πιο φονικών ιών της ιστορίας: 2011 – Duqu #19

Το οδοιπορικό των πιο φονικών ιών της ιστορίας: 2011 – Duqu #19

Το οδοιπορικό των πιο φονικών ιών της ιστορίας: 2011 – Duqu #19
Και δεν πρόλαβε να περάσει πολύς καιρός από την εμφάνιση του τελευταίου ιού που μελετήσαμε, δεν καταφέραμε καλά καλά να συνέλθουμε από τον Stuxnet…. όταν ο Duqu….

 

Και δεν πρόλαβε να περάσει πολύς καιρός από την εμφάνιση του τελευταίου ιού που μελετήσαμε, δεν καταφέραμε καλά καλά να συνέλθουμε από τον Stuxnet…. όταν συνέβη αυτό:

Σύμφωνα με ανακοίνωση της εταιρείας λογισμικού ασφαλείας Symantec, το διαβόητο worm με την κωδική ονομασία Stuxnet επιστρέφει και ίσως αυτή τη φορά να είναι πιο απειλητικό από πριν. Το νέο malware είναι γνωστό αυτή τη στιγμή με το όνομα Duqu. Σύμφωνα με ανακοίνωση της εταιρείας λογισμικού ασφαλείας Symantec, το διαβόητο worm με την κωδική ονομασία Stuxnet επιστρέφει και ίσως αυτή τη φορά να είναι πιο απειλητικό από πριν. Το νέο malware είναι γνωστό αυτή τη στιγμή με το όνομα Duqu.

Το Duqu έχει ήδη ανιχνευτεί σε υπολογιστές μεγάλων εταιρείων. Μια πρώτη διαφορά σε σχέση με τον προκάτοχό του είναι ότι δε βάζει στο στόχαστρο μόνο πυρηνικές εγκαταστάσεις -όπως έκανε το Stuxnet με το πυρηνικό πρόγραμμα του Ιράν- αλλά έχει ένα μεγάλο “ρεπερτόριο”. Η εταιρεία Symantec πιστεύει ότι το Duqu μαζεύει πληροφορίες, προκειμένου να τις αξιοποιήσει για μελλοντικές επιθέσεις.

[alert variation=”alert-info”]Οι ερευνητές ανακάλυψαν ότι ο κώδικας του Dυqυ έχει πολλές ομοιότητες με αυτόν του Stuxnet, οπότε είτε έχει γραφτεί από τον ίδιο άνθρωπο, είτε κάποιος τρίτος απέκτησε με κάποιον τρόπο τον source code κι έφτιαξε μια παραλλαγή. Έχει, επίσης, ενδιαφέρον το γεγονός ότι το Dυqυ αυτοδιαγράφεται μετά από 36 μέρες σε έναν υπολογιστή, με αποτέλεσμα να γίνεται πιο δύσκολη η ανίχνευσή του.[/alert]

 

Το οδοιπορικό των πιο φονικών ιών της ιστορίας: 2011 – Dυqυ #19
Οι ερευνητές ανακάλυψαν ότι ο κώδικας του Duqu έχει πολλές ομοιότητες με αυτόν του Stuxnet, οπότε είτε έχει γραφτεί από τον ίδιο άνθρωπο, είτε κάποιος τρίτος απέκτησε με κάποιον τρόπο τον source code κι έφτιαξε μια παραλλαγή. Έχει, επίσης, ενδιαφέρον το γεγονός ότι το Duqu αυτοδιαγράφεται μετά από 36 μέρες σε έναν υπολογιστή, με αποτέλεσμα να γίνεται πιο δύσκολη η ανίχνευσή του.

Η παρουσία του Duqu στο Ιράν ενισχύει την άποψη που λέει ότι Dυqυ και Stuxnet είναι οι δύο όψεις του ίδιου νομίσματος. Υπενθυμίζεται ότι το Stuxnet worm μόλυνε τις πυρηνικές εγκαταστάσεις του Ιράν στην πόλη Ντουσέρ το 2010, με αποτέλεσμα να σταματήσουν οι εργασίες στο περσικό εργοστάσιο.

Σύμφωνα με τους αναλυτές της Kaspersky, το βασικό module του Dυqυ αποτελείται από τρία μέρη:

1) τον kernel driver που ρίχνει μια rogue library στα system processes,
2) το καθ’ εαυτό DLL που χειρίζεται μεταξύ άλλων την επικοινωνία με τον command-and-control (C&C) server και
3) το configuration file.

 

Επιπλέον, υπάρχει και το δευτερεύον module, το οποίο έχει τη μορφή keylogger με δυνατότητα υποκλοπής πληροφοριών.

Η αρχιτεκτονική του Dυqυ είναι ιδιαίτερα ευέλικτη, γεγονός που του επιτρέπει να αυτο-αναβαθμίζεται, να αλλάζει C&C server και να εγκαθιστά επιπλέον στοιχεία ανά πάσα στιγμή.

Ουδείς μπορεί να πει ποια είναι η προέλευσή του, αν όμως σχετίζεται άμεσα με το Stuxnet, οι μυστικές υπηρεσίες των ΗΠΑ και του Ισραήλ είναι στην κορυφή της λίστας των υπόπτων.

Το οδοιπορικό των πιο φονικών ιών της ιστορίας: 2011 – Dυqυ #19

 

Ιδιαίτερο ενδιαφέρον παρουσιάζει και η δήλωση της εταιρείας  Kaspersky Lab που δημοσιεύθηκε το Νοέμβρη του 2011:

Η Kaspersky Lab, ανακοινώνει ότι όλα τα προϊόντα της εντοπίζουν την ευπάθεια που χρησιμοποιήθηκε για τη διανομή του διαβόητου Trojan Duqu και όλων των εκδόσεων του.

Οι ειδικοί της Kaspersky Lab υλοποίησαν επιτυχώς μεθόδους προστασίας ενάντια στον ιό Trojan.Win32.Duqu.a και σε άλλα κακόβουλα προγράμματα που εκμεταλλεύονται την ευπάθεια με την κωδική ονομασία CVE-2011-3402. Η zero-day ευπάθεια εντοπίστηκε στη μηχανή ανάλυσης γραμματοσειρών Win32k TrueType Font. Η ευπάθεια αυτή μπορούσε να επηρεάσει διάφορα προγράμματα Office.

Για παράδειγμα, ένα ειδικά διαμορφωμένο έγγραφο Microsoft Word θα μπορούσε να χρησιμοποιηθεί για να αποκτήσουν οι κυβερνοαπατεώνες μεγαλύτερα προνόμια πρόσβασης στον υπολογιστή ενός χρήστη και να τρέξουν κακόβουλους κώδικες.

Το οδοιπορικό των πιο φονικών ιών της ιστορίας: 2011 – Dυqυ #19

Στο σημείο αυτό τελειώνει και η σημερινή μας αναδρομή. Οποιαδήποτε σχόλια, επιπλέον πληροφορίες ή και προσωπικές σας εμπειρίες από τους ιούς που αναφέρουμε είναι  πάντοτε ευπρόσδεκτες. Ανανεώνουμε για το ερχόμενο Σάββατο το ραντεβού μας για να ανακαλύψουμε μαζί τον επόμενο καταστροφικό ιό.

Μείνετε συντονισμένοι στο SecNews για να μάθετε ακόμα περισσότερα!

to be continued

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS