Новый модульный шпионский червь Duqu – «второе пришествие» Stuxnet? - Общий форум по информационной безопасности - Форумы Anti-Malware.ru Перейти к содержанию
S.N.Safe&Software

Новый модульный шпионский червь Duqu – «второе пришествие» Stuxnet?

Recommended Posts

S.N.Safe&Software

Все помнят, как несколько месяцев назад заголовки новостей пестрели сообщениями о суперчерве Stuxnet, совместной разработке США и Израиля, который был нацелен на оборудование для атомных электростанций, а именно, на микроконтроллеры от Siemens.

На этой неделе в широком доступе появилась информация о новом самоликвидирующемся шпионском черве W32.Duqu. Duqu напоминает скандально известное вредоносное ПО Stuxnet, и эксперты ожидают от него множество неприятностей. Однако, несмотря на сходство основных модулей этих вредоносов, они нацелены на выполнение разных задач. Цель Stuxnet – поражение специализированного ПО, а цель Duqu – сбор конфиденциальной информации с зараженного компьютера и, в последствии, самоликвидация. Имя Duqu дано ему неспроста. Дело в том, что «~DQ.» это расширение файлов, создаваемых зловредом.

Рассмотрим основной модуль Duqu. Он состоит из:

1. Драйвера для внедрения dll-модуля в систему;

2. Dll с дополнительным модулем, она также взаимодействует с центром управления;

3. Файла конфигурации.

Именно этот модуль в Duqu аналогичен основному модулю Stuxnet. Однако, файлы, с расширением «~DQ.» генерируются вовсе не в основном модуле, а в дополнительном. В Duqu этот модуль по сути является кейлоггером, трояном-шпионом. Таким, образом, Duqu собирается с зараженных компьютеров любую конфиденциальную информацию, такую, как

• Логи с клавиатуры

• Список процессов

• Сведения о домене

• Скриншоты экрана

• Сетевую информацию

• Данные учетных записей

А по окончании 36-дневного срока с момента установки, как мы уже упоминали ранее, Duqu самоликвидируется с компьютера.

Что касается первоисточника информации о новом вредоносном ПО, то тут данные весьма призрачные. По официальной версии Duqu атаковал несколько производственных предприятий в Европе, а первый образец ПО поступил для анализа из Венгрии, но никто не может указать ни названия предприятий, ни имя венгра-первопроходца.

В связи с вышесказанным, мы рекомендуем укреплять информационную безопасность на предприятиях и уделить внимание проверкам системы на наличие сторонних приложений.

Источник>>>

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
о суперчерве Stuxnet, совместной разработке США и Израиля,

Откуда инфа ? ГосДеп открыл архивы ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Да не, видимо с НТВ набрали "писателей"... "Скандалы, интриги, расследования" ну или "Центральное телевидение"...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Наверно на них теперь работает телеведущий "Запретной Зоны" Михаил Пореченков :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
По официальной версии Duqu атаковал несколько производственных предприятий в Европе

может хотя бы это утверждение подтвердите ссылкой на "официальную версию" ? :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
StarStream

Page Not Found...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
По официальной версии Duqu атаковал

Вот этот момент реально улыбнул :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Проблема оказалась в редакции windows, для home нужно дополнительно прописывать флаг в реестр, в RC4 теперь это делается автоматически.
        Добавил функцию для образов.

      ---------------------------------------------------------
       5.0.RC4
      ---------------------------------------------------------
      o Добавлена поддержка включения отслеживания командной строки процессов для "Home" редакций Windows.
        Теперь при включении отслеживания в лог печатается статус этой опции.

      o Функция "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом" теперь доступа и при работе с образом,
        если образ сделан при активном отслеживании процессов.

      o Исправлена критическая ошибка при создании файла описания для скопированного в Zoo большого текстового файла (vbs/cmd и т.д.).

       
    • santy
      Привет. По 5.0 RC3 Это работает. (саму команду еще не проверил как работает). И в цепочку процесс укладывается, хотя цепочка достаточно запутана, но к сожалению, отслеживание командной строки не включилось по какой-то причине. Возможно потому что не был отключен антивирус MBAM.
       o В окне истории процессов и задач в контекстное меню процесса добавлен новый пункт: 
         "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом"
         Это может быть полезно при поиске процесса модифицировавшего неявно запущенный им процесс. Функция есть в истории процессов и задач, но работает видимо только из активной системы.                           DESKTOP-867G3VL_2025-07-15_20-59-13_v5.0.RC3.v x64.7z
    • demkd
      Да, с этим файлом проблема, починю.
    • PR55.RP55
      В настройках добавить: Отправлять лог применения\выполнения скрипта на сервер\адресату. Уникальный идентификатор прописывается в скрипт при его генерации. т.е. Оператор не запрашивает результат выполнения скрипта у пользователя.    
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.2.14.
×