YourCompNews Актуальные новости IT и игровой индустрии, социальных сетей и интернета, технологий и сервисов, компьютеров и перефирии. Будь в курсе!

ESET разработали алгоритм определения точного времени заражения системы вирусом Duqu

Сотрудники компании ESET разработали алгоритм определения точного времени проникновения вируса Duqu на систему. Напомним, что Duqu – это вредоносная программа, заразившая корпоративные сети ряда предприятий в Европе и на Среднем Востоке. Подробное изучение кода червя показало, что его разработали авторы вируса Stuxnet, нанесшего серьезный урон ядерной промышленности Ирана. В Duqu был обнаружен модуль дроппера, способный по команде из удаленного сервера загружать дополнительные компоненты. Один из таких компонентов, обнаруженный в корпоративной сети европейской компании, оказался кейлоггером. Этот кейлоггер в ходе своей работы создавал файлы с префиксом «dq» в названии, из чего и появилось название основного модуля зловреда – «Duqu».

Директор Центра вирусных исследований и аналитики ESET Александр Матросов заявил, что сразу после появления в распоряжении компании вируса семейства Win32/Duqu, его исследовательское подразделение сразу сконцентрировалось на детальном анализе этой угрозы. Сходство нового червя с Stuxnet стало стимулом к повышенному интересу со стороны исследователей компании.

Сотрудники ESET восстановили алгоритм шифрования конфигурационных файлов Duqu, а также его формат. При этом исследователи разработали методику, с помощью которой удалось определить точную дату проникновения вируса на систему, «что особенно важно при проведении криминалистической экспертизы при инцидентах, связанных с заражениями компьютеров на промышленных предприятиях».

«На исследуемых нами образцах нам удалось установить даты заражения: первый набор показал дату 11/08/2011 (07:50:01), а второй – 18/08/2011 (07:29:07). Интересно, что время заражения системы Duqu практически идентично, но с разницей в одну неделю. При этом извлеченные образцы были из разных мест, что может говорить о том, что была проведена группа целенаправленных атак, однако пока их точная мотивация неизвестна», – заявил Александр Матросов.

Основная цель распространения Duqu пока неизвестна. Сотрудники «Лаборатории Касперского» сравнили основной модуль Duqu «ракетоносителем». Способность загружать дополнительные модули, то есть «боеголовки», делает его особенно опасным, так как невозможно предугадать, какая именно атака будет нанесена с помощью вируса.

Ознакомиться с уведомлением компании ESET можно здесь.

Ссылка на оригинальный материал.