Обнародованы новые результаты анализа кода трояна Duqu, атакующего предприятия. Совместно с компанией CrySyS Lab специалистам Symantec удалось обнаружить и исследовать инсталлятор зловреда.
Попав на компьютер, Duqu эксплуатирует ранее неизвестную уязвимость в ядре операционных систем семейства Windows.
Инфицирование происходит при открытии документа Microsoft Word, в котором находится установщик трояна. По словам экспертов Symantec, документ сконфигурирован таким образом, чтобы заражение осуществлялось только в определенный срок. Вредоносной программе было отведено на это восемь дней в августе текущего года.
Ранее сообщалось, что троян очень похож на червь Stuxnet, который летом минувшего года поразил оборудование иранских предприятий по обогащению урана. Отдельные фрагменты кода Duqu копируют код Stuxnet, а файлы драйверов имеют те же цифровые подписи, что и у «иранского» червя.
Задача трояна – сбор информации об управлении производством. Речь идет о любых данных, которые могут пригодиться при организации вторжения: учетных записях пользователей, логах с клавиатуры, скриншотах, настройках сетевого подключения и др. В отличие от Stuxnet, троян способен загружать дополнительный контент. Другая особенность Duqu – ограниченный срок действия: через 36 дней после заражения ПК он самоуничтожается и удаляет следы своего пребывания в ОС.
Также на эту тему:
Ваш компьютер заблокирован! Борьба с вирусами-блокерамиРазмножение вирусов
Loading ...
