Znajdź zawartość

Dokonana przez Kaspersky Lab analiza trojana Duqu wskazuje, że przestępcy pracowali nad szkodliwym kodem od co najmniej czterech lat. Laboratorium badało fragmenty trojana przesłane przez ekspertów z Sudanu. Okazało się, że jeden ze sterowników został skompilowany w sierpniu 2007 roku. Analizowany sterownik musiał zostać napisany przez twórców Duqu, gdyż nie spotkano go w żadnym innym szkodliwym kodzie. Z badań wynika również, iż podczas wszystkich ataków z użyciem Duqu wykorzystano pliki skompilowane niedługo przed atakiem i napisane pod kątem atakowanego celu. To oznacza, że szkodliwy kod jest odpowiednio dostosowywany do ataku. Zmiany są raczej niewielkie, ale podczas każdej operacji używane są unikatowe pliki. Każdy atak przyporządkowany jest innemu serwerowi kontrolnemu, którego lokalizacja jest zawarta w plikach. To oznacza, że napastnicy są zorientowani na konkretne cele. Są profesjonalistami, przykładają się do roboty - powiedział Raul Schouwenberg z Kaspersky Lab.

Microsoft udostępnił tymczasową łatkę dla dziury zero-day w jądrze Windows, która jest wykorzystywana przez robaka Duqu. Błąd znajduje się w silniku odpowiedzialnym za parsowanie fontów TrueType. Koncern ostrzega, że tymczasowa poprawka może spowodować, iż niektóre aplikacje wykorzystujące wbudowane fonty mogą nieprawidłowo wyświetlać dokumenty. Ostateczna łata dla wspomnianej luki nie zostanie opublikowana w najbliższy Patch Tuesday, przypadający na wtorek 8 listopada. Koncern nie zdąży z jej przygotowaniem. W ogóle nie wiadomo, kiedy się ona ukaże. Naprawienie tego błędu będzie wymagało modyfikacji kodu jądra, a to delikatna i ryzykowna operacja. Jej przetestowanie zajmie sporo czasu - stwierdził Costin Raiu z firmy Kaspersky Lab. Niewykluczone, że na łatę trzeba będzie poczekać co najmniej dwa tygodnie. W takiej sytuacji Microsoft może zdecydować się na jej publikację w ramach grudniowego Patch Tuesday. Chyba, że zacznie pojawiać się nowy szkodliwy kod wykorzystujący wspomnianą dziurę.

Microsoft potwierdził, że nowy niebezpieczny robak Duqu wykorzystuje nieznaną dotychczas dziurę w jądrze Windows. Niektórzy eksperci sądzą, że Duqu jest dziełem twórców Stuxneta. Dziurę w jądrze wykryła przed kilkoma dniami węgierska firma CrySyS, która analizowała instalator Duqu. Szkodliwy kod rozprzestrzenia się w jako odpowiednio spreparowany plik Worda. Specjaliści odkryli, że przynajmniej w jednym przypadku Duqu dokonał infekcji poprzez współdzielone w sieci wewnętrznej zasoby, zarażając maszynę, która nie miała bezpośredniego połączenia z internetem. Dotychczas Duqu był używany prawdopodobnie tylko przez osiem dni w sierpniu i tylko podczas precyzyjnych ataków. Zdaniem firmy Symantec ich ofiarami padło sześć firm działających we Francji, Holandii, Szwajcarii, na Ukrainie, w Indiach, Iranie, Sudanie i Wietnamie. Pojawiły się też informacje o infekcjach w Wielkiej Brytanii, Austrii i Indonezji. Wiadomo, że jednym z zadań Duqu jest szpiegowanie producentów przemysłowych systemów kontroli. To budzi podejrzenia, że zdobyte w ten sposób informacje zostaną użyte podczas kolejnych ataków. Ekspertom udało się zidentyfikować i wyłączyć jeden z serwerów kontrolujących Duqu. Maszyna znajdowała się w Belgii. Microsoft pracuje nad poprawką łatającą dziurę, którą wykorzystuje Duqu.