Povratak malvera Duqu

Vesti, 29.03.2012, 09:20 AM

Malver Duqu koga mnogi dovode u vezu sa ozloglašenim Stuxnetom, pojavio se posle pauze koja je trajala četiri meseca, potvrdili su stručnjaci Kaspersky Laboratorije.

Prošle nedelje, Symantec je objavio da su istraživači kompanije otkrili jednu od komponenti ovog Trojanca - sistemski drajver koga instalira dropper malvera. Funkcija drajvera je da dekodira ostatak već preuzetog paketa malvera koji se nalazi na hard disku, a zatim da te delove učita u memoriju računara.

Symantec je otkrio jedan primerak drajvera koji je kompajliran 23. februara ove godine. Poslednje ažuriranje drajvera pre ovog je bilo 17. oktobra prošle godine.

Funkcionalnost novog drajvera nije značajno izmenjena u odnosu na ranije verzije. Stari drajver je imao ukradeni digitalni sertifikat, dok dok kod novog to nije slučaj.

I dok u Symantecu-u nisu sigurni u motive hakera koji su Duqu vratili u igru posle višemesečne pauze, Aleksandar Gostev iz Kaspersky Laboratorije je izneo pretpostavku da je Duqu drajver izmenjen zbog toga da bi izbegao antivirusni softver i alate za detekciju ovog Trojanca.

Ažurirani Duqu drajver je otkriven u Iranu, gde je zabeležen i najveći broj poznatih napada. Fokusiranost Duqu Trojanca na Iran govori u prilog pretpostavke da je Duqu možda prethodnik Stuxneta, sofisticiranog kompjuterskog crva za koga se veruje da je imao za cilj sabotažu iranskog nuklearnog programa ometanjem rada gasnih centrifuga. Od 21 infekcije koliko ih je zabeležila Kaspersky Laboratorija 52% je otkriveno na računarima u Iranu.

Mali broj infekcija takođe je misterija koju pokušavaju da razreše stručnjaci za bezbednost.

Ono što je izvesno je da oni koji stoje iza Duqu-a još uvek rade na njegovom razvoju, a s obzirom da je Duqu razvijen za ciljane napade moguće je da je ažurirani malver namenjen novoj žrtvi. Možda uskoro vidimo da imaju nove tehnike napada ili čak i novu zero-day ranjivost, kažu u Symantec-u.