NSS Labs публикует исходники сканера, обнаруживающего драйверы червя Duqu

NSS Labs публикует исходники сканера, обнаруживающего драйверы червя Duqu

Специалисты по ИТ-безопасности из компании NSS Labs открыли исходные коды программного сканера, способного детектировать все известные версии драйверов, используемые новым опасным вредоносным кодом Duqu. Однако другие антивирусные вендоры сомневаются в эффективности данного шага, заявляя, что его можно обойти в любое время без значительных усилий. Согласно данным NSS Labs, ее сканер использует продвинутую систему распознавания и может стать базой для дальнейших инструментов, борющихся с Duqu.



Многие эксперты полагают, что вредоносный код Duqu близко связан с промышленным червем Stuxnet для саботажа промышленных объектов. Червь Stuxnet был изначально создан для атаки на иранские ядерные объекты, но в прошлом и первой половине текущего года активно распространился и на другие промышленные объекты по всему миру, передает cybersecurity.

На сегодня антивирусные компании установили, что существующие версии Duqu распространяются, используя уязвимость в ОС Windows, а само распространение червя производится через специально сконструированный файл в формате Word. На сегодня известно о двух модификациях Duqu. Костин Раию, директор по глобальным исследованиям "Лаборатории Касперского" говорит, что выпуск исходников инструмента обнаружения Duqu - это полезный шаг, но в виду новизны кода, эвристические правила сейчас слишком узки и эффективность инструмента может быть очень низкой. Также он отметил, что эвристические механизмы, обнаруживающие Duqu, также должны обнаруживать и Stuxnet из-за похожести двух кодов.

""Лаборатория Касперского" пока не предлагает утилиту для удаления Duqu ввиду сложности кода. Простого удаления здесь недостаточно. Каждый случай заражения может быть очень серьезным и мы рекомендуем обращаться пострадавшим напрямую к нам для проведения полного расследования", - говорит он.

Подобное мнение разделяет и Микко Хиппонен, директор по исследованиям антивирусной компании F-Secure. "Создатели Duqu - это профессионалы мирового класса. У них не будет проблем с уходом от обнаружения любого сканера, если это им потребуется", - уверен он.

Напомним, что ранее компания Symantec провела первый широкий анализ кода Duqu, заметив, что данный вредоносный код предназначен для атаки промышленных объектов, причем за написанием Duqu и нашумевшего червя Stuxnet, скорее всего, стоят одни и те же люди. В то же время, в подразделении Dell SecureWorks говорят, что также провели анализ работы Duqu и полагают, что коды Stuxnet и Duqu имеют мало что общего, более того, за реальным написанием последнего могут стоять совершенно другие люди, которые, впрочем, также ориентированы на получение промышленных данных. В компании Dell говорят, что Duqu представляет собой вредонос, состоящий из двух частей, созданных по аналогии с тем, как работают многие руткиты. При попадании в систему он пытается подгрузить набор зашифрованных DLL-файлов, которые работают как драйвер уровня ядра. Для установки в систему драйверы используют краденные сертификаты тайваньской компании JMicron.

После полного развертывания в системе, Duqu уже не использует каких-либо уязвимостей и просто работает как системный компонент. Опасность заключается в том, что антивирусные компании пока не могут вычислить основную цель Duqu и типы атакуемого оборудования. В случае со Stuxnet было понятно, что червь атакует оборудование Siemens на атомных станциях в Иране, США, России и Израиле.

"Базовые цели Duqu и его происхождение пока остаются загадкой, странно также и то, что он зачастую используется в массовых рассылках, хотя предназначен для таргетированных атак", - говорят в Dell SecureWorks.

Ранее "Лаборатория Касперского" опубликовала данные, согласно которым первые следы Duqu были обнаружены в Венгрии в начале октября. Позже появились данные, что Duqu в первую очередь начал атаковать промышленные объекты в Судане и Иране, хотя антивирусная компания заявляет, что это еще не говорит об ориентированности Duqu именно на эти страны.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Петербургскую пенсионерку обманули от имени немецкого тенора

В Санкт-Петербурге в полицию обратилась 69-летняя жительница города, ставшая жертвой мошенничества. Неизвестный, представившийся немецким оперным певцом Йонасом Кауфманом, убедил её заплатить почти 200 тыс. рублей якобы за «таможенную пошлину» при получении крупного денежного перевода.

О данном инциденте написала «Фонтанка». Злоумышленник сообщил женщине, что перевёл ей 400 тыс. евро, однако для получения этих средств необходимо оплатить около 200 тыс. рублей пошлины. Это требование пенсионерка выполнила.

После этого мошенники перестали выходить на связь. Спустя четыре дня женщина поняла, что её обманули, и обратилась в полицию. Уголовное дело пока не возбуждено.

Подобные схемы нередко применяют аферисты на сервисах онлайн-знакомств. Традиционная легенда заключается в выманивании денег на разные «неотложные нужды». В последний год мошенники активно начали использовать дипфейки, а пик их активности приходится на гендерные праздники.

Постепенно меняются и сами схемы. Так, нынешним летом распространение получило вовлечение жертв в криптоскам.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru