Skocz do zawartości
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Duqu liczy sobie co najmniej 4 lata

Rekomendowane odpowiedzi

Dokonana przez Kaspersky Lab analiza trojana Duqu wskazuje, że przestępcy pracowali nad szkodliwym kodem od co najmniej czterech lat. Laboratorium badało fragmenty trojana przesłane przez ekspertów z Sudanu. Okazało się, że jeden ze sterowników został skompilowany w sierpniu 2007 roku.

Analizowany sterownik musiał zostać napisany przez twórców Duqu, gdyż nie spotkano go w żadnym innym szkodliwym kodzie. Z badań wynika również, iż podczas wszystkich ataków z użyciem Duqu wykorzystano pliki skompilowane niedługo przed atakiem i napisane pod kątem atakowanego celu. To oznacza, że szkodliwy kod jest odpowiednio dostosowywany do ataku. Zmiany są raczej niewielkie, ale podczas każdej operacji używane są unikatowe pliki. Każdy atak przyporządkowany jest innemu serwerowi kontrolnemu, którego lokalizacja jest zawarta w plikach. To oznacza, że napastnicy są zorientowani na konkretne cele. Są profesjonalistami, przykładają się do roboty - powiedział Raul Schouwenberg z Kaspersky Lab.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Podobna zawartość

    • przez KopalniaWiedzy.pl
      Microsoft udostępnił tymczasową łatkę dla dziury zero-day w jądrze Windows, która jest wykorzystywana przez robaka Duqu. Błąd znajduje się w silniku odpowiedzialnym za parsowanie fontów TrueType.
      Koncern ostrzega, że tymczasowa poprawka może spowodować, iż niektóre aplikacje wykorzystujące wbudowane fonty mogą nieprawidłowo wyświetlać dokumenty.
      Ostateczna łata dla wspomnianej luki nie zostanie opublikowana w najbliższy Patch Tuesday, przypadający na wtorek 8 listopada. Koncern nie zdąży z jej przygotowaniem. W ogóle nie wiadomo, kiedy się ona ukaże. Naprawienie tego błędu będzie wymagało modyfikacji kodu jądra, a to delikatna i ryzykowna operacja. Jej przetestowanie zajmie sporo czasu - stwierdził Costin Raiu z firmy Kaspersky Lab. Niewykluczone, że na łatę trzeba będzie poczekać co najmniej dwa tygodnie. W takiej sytuacji Microsoft może zdecydować się na jej publikację w ramach grudniowego Patch Tuesday. Chyba, że zacznie pojawiać się nowy szkodliwy kod wykorzystujący wspomnianą dziurę.
    • przez KopalniaWiedzy.pl
      Microsoft potwierdził, że nowy niebezpieczny robak Duqu wykorzystuje nieznaną dotychczas dziurę w jądrze Windows. Niektórzy eksperci sądzą, że Duqu jest dziełem twórców Stuxneta.
      Dziurę w jądrze wykryła przed kilkoma dniami węgierska firma CrySyS, która analizowała instalator Duqu.
      Szkodliwy kod rozprzestrzenia się w jako odpowiednio spreparowany plik Worda.
      Specjaliści odkryli, że przynajmniej w jednym przypadku Duqu dokonał infekcji poprzez współdzielone w sieci wewnętrznej zasoby, zarażając maszynę, która nie miała bezpośredniego połączenia z internetem.
      Dotychczas Duqu był używany prawdopodobnie tylko przez osiem dni w sierpniu i tylko podczas precyzyjnych ataków. Zdaniem firmy Symantec ich ofiarami padło sześć firm działających we Francji, Holandii, Szwajcarii, na Ukrainie, w Indiach, Iranie, Sudanie i Wietnamie. Pojawiły się też informacje o infekcjach w Wielkiej Brytanii, Austrii i Indonezji.
      Wiadomo, że jednym z zadań Duqu jest szpiegowanie producentów przemysłowych systemów kontroli. To budzi podejrzenia, że zdobyte w ten sposób informacje zostaną użyte podczas kolejnych ataków.
      Ekspertom udało się zidentyfikować i wyłączyć jeden z serwerów kontrolujących Duqu. Maszyna znajdowała się w Belgii.
      Microsoft pracuje nad poprawką łatającą dziurę, którą wykorzystuje Duqu.
    • przez KopalniaWiedzy.pl
      Kaspersky Lab, w swoim najnowszym raporcie, krytykuje nieprawdziwe i alarmistyczne stwierdzenia, które na temat Operation Shady RAT opublikowała firma McAfee. Kaspersky posuwa się nawet do określenia całego zamieszania mianem Shoddy [tandetny - red.] RAT.
      Raport [McAfee - red.] sugeruje, że inne ataki, których świadkami byliśmy w ciągu ostatnich miesięcy, nie są ani zaawansowane technologicznie ani nie są niczym nowym. Czym niby te niezaawansowane ataki różnią się od tego, który opisaliście w swoim raporcie? Te rzekomo ‚niezaawansowane' ataki powinniście właśnie nazwać ‚zaawansowanymi'. To zagrożenia takie jak TDSS, Zeus, Conficker, Bredolab, Stuxnet, Sinowal czy Rustock, które stwarzają dla rządów, firm i organizacji znacznie większe zagrożenie niż Shaddy RAT - czytamy w raporcie Kaspersky Lab.
      Na przykład TDSS kontroluje jeden z największych światowych botnetów składających się z ponad 4,5 miliona maszyn na całym świecie. Większość ekspertów ds. bezpieczeństwa nawet nie pofatygowało się, by jakoś nazwać złośliwy kod Shady RAT, ponieważ jest on dość prymitywny - stwierdzają specjaliści.
      Kaspersky dodaje, że większość antywirusów bez problemu zwalcza Shady RAT, a sam szkodliwy kod nie zawiera żadnych nowych technik i nie działa w nowatorski sposób. Wręcz przeciwnie, analizy wykonane przez ekspertów Kaspersky'ego ujawniły zaskakujące niedociągnięcia, dowodzące, że autorzy kodu są słabymi programistami i brakuje im podstawowej wiedzy o bezpieczeństwie sieciowym.
      W miażdżącym raporcie czytamy też: ponadto sposób, w jaki kod ten atakuje - czyli poprzez rozsyłanie spamu z zarażonymi załącznikami - jest uznawany za przestarzały. Większość współczesnych ataków jest dokonywanych bezpośrednio przez sieć. Shady RAT nie korzysta ponadto z żadnej zaawansowanej lub wcześniej nieznanej techniki ukrywania swojej obecności w systemie, nie ma żadnych mechanizmów chroniących go przed oprogramowaniem antywirusowym ani w żaden sposób nie szyfruje transmisji pomiędzy zarażonym komputerem a serwerem. Nie musimy chyba dodawać, że dopiero takie funkcje charakteryzują zaawansowany szkodliwy kod.
      Zdaniem Kaspersky'ego kod Shady RAT-a mógłby stworzyć w zaciszu domowym każdy początkujący programista.
    • przez KopalniaWiedzy.pl
      Firma ArcaBit, polski producent oprogramowania antywirusowego, znalazła się w doborowym towarzystwie trzech światowych gigantów. Obok Trend Micro, Symanteka i Kaspersky Lab jest przedsiębiorstwem, którego produkty antywirusowe są oficjalnie zalecane przez Microsoft. Jedynie w przypadku oprogramowania antywirusowego tych czterech firm Microsoft potwierdził, że jest ono w pełni kompatybilne z systemem Windows Vista.
      ArcaBit jest producentem programu ArcaVir, który można kupić w wersjach dla systemów Windows czy Linux oraz dla Windows Server, Exchange Server, Novell NetWare, Lotus Domino Server, Unix, Pocket PC czy Mac OS X.
      Najnowszy produkt firmy – pakiet ArcaVir 2007 – wygrał właśnie przetarg zorganizowany przez Ministerstwo Edukacji Narodowej. Zostanie on wykorzystany do zabezpieczenia niemal 5 tysięcy pracowni i 60 000 komputerów w polskich szkołach.

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...