IT ExpertМир технологийНовинки

В ESET разработали метод определения точной даты заражения Duqu

| 26.10.2011

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

В ESET разработали метод определения точной даты заражения Duqu

Компания ESET, международный разработчик антивирусного ПО и решений в области компьютерной безопасности, сообщает о том, что российские специалисты компании разработали метод определения точной даты проникновения вредоносных программ семейства Win32/Duqu в систему компьютера.

Duqu – троянская программа, которая может быть использована для целенаправленных атак на крупные компании и промышленные предприятия. Вирусные аналитики компании ESET провели исследование файлов, полученных с зараженных данным вредоносным ПО компьютеров. Это позволило установить, что технологическое устройство Duqu совпадает с концепциями, реализованными в Stuxnet, а функционал проанализированных драйверов, устанавливаемых Duqu, практически полностью повторяет код Stuxnet. То есть создателями данного вредоносного ПО является организация или группа людей, которая обладает доступом к исходным кодам уже некогда нашумевшего шпионского червя.

«После появления у нас образцов Win32/Duqu, наше исследовательское подразделение сразу же сконцентрировалось на детальном анализе этой угрозы, - комментирует Александр Матросов, директор Центра вирусных исследований и аналитики ESET. - Дополнительным стимулом к повышенному интересу с нашей стороны к Duqu было очень большое сходство в технической реализации этой угрозы с червем Stuxnet, который мы детально изучали осенью прошлого года. Однако пока еще рано делать какие-то выводы о точных целях Duqu, и мы активно продолжаем наше исследование».

Российские специалисты ESET также восстановили алгоритм шифрования конфигурационных файлов Duqu и его формат. При этом они разработали методику определения точной даты заражения системы данной троянской программой, что особенно важно при проведении криминалистической экспертизы при инцидентах, связанных с заражениями компьютеров на промышленных предприятиях. Кроме того, определение времени инфицирования системы также необходимо из-за особенностей распространения Duqu – срок его пребывания в системе компьютера ограничен.

«На исследуемых нами образцах нам удалось установить даты заражения: первый набор показал дату 11/08/2011 (07:50:01), а второй - 18/08/2011 (07:29:07), - продолжает Александр Матросов. - Интересно, что время заражения системы Duqu практически идентично, но с разницей в одну неделю. При этом извлеченные образцы были из разных мест, что может говорить о том, что была проведена группа целенаправленных атак, однако пока их точная мотивация неизвестна».

На сегодняшний день наиболее вероятной версией появления Duqu является сбор информации и дальнейшее координирование действий вредоносной программы из командного центра. При этом Duqu может скачивать и устанавливать дополнительный функционал в виде модулей, которые уже выполняют основные цели атаки.

Мероприятия

20.03.2019 — 05.04.2019
SimbirSoft

Москва, ул. Земляной вал, д. 8

21.03.2019 — 22.03.2019
ИндаСофт-2019

Москва, ул. Лесная, д. 7, корп. А, БЦ «Белые Сады»

26.03.2019 — 27.03.2019
Cisco Connect-2019

Москва. Экспоцентр

05.04.2019
Moscow Python Conf

Москва, Инфопространство

16.04.2019 — 18.04.2019
Открытые дни DIRECTUM. Практика и тренды цифровизации

Москва, Москва, Санкт-Петербург и еще 16 городов России и СНГ

29.05.2019 — 31.05.2019
IT & Security Forum

Казань, ГРК Корстон