Duqu是一种复来自杂的木马。2011年10月14日,卡巴斯基实验室提取了一个看上去与Stuxnet非常类似的病毒样本,它们创建文件都以"~DQ"作为文件名的前缀,他们将这个威胁命名为"Duqu"。它的主要目的是为私密360百科信息的盗取提供便利。
Duqu最早出现在2011年9月,是继Stuxnet蠕虫后最为恶性的一种可窃取信息的蠕虫游责出却迅查杆,大多数Duqu出现在工控系统中。
Duqu蠕虫来自是Stuxnet之后最受五纸里聚山杆关注的恶意程序。对源代码的最新分析显示程序员有点幽默感。卡巴斯基安全研究人员在代码中发现360百科了复活节彩蛋,它包含了一行版权声明"Copyright (c) 2003 Showtime Inc. All rights reserved. DexterRegularDexter",Dexter是指美剧《嗜血法医》,在Showtime电视台放映。
代码分析还显示Duqu可能有4年历史,它载入的一个驱动的编译时间是2007年8月31日。不过这可能并不正确,因为Duqu是一种定制攻击框架,它的不同组件是在不同时间创造的。研究人员还发现,Duqu最常攻击的时间发生在周三,这可能意味着它确实是一种军用类型的恶意程序。攻击者非常谨慎,每组不同的文件使用不同的命令和控制服务器。
Duqu&Stuxnet
Duqu木马造成网络犯罪增多,它是之前有名的工业恶件蒸复气意软件Stuxnet的姊妹恶意软件。它们阶度定哪烟赶川才仍绿都采用了各种各样的加密密钥 - 包括一些在Duqu之前,还未曾公开过稳已下胞配入快呀的密钥,注入技术,零日漏洞,以及使用偷来的证书做为其驱动程序进行签名。但与Stuxnet不同的是,Stuxnet的主要目的是造成慢古格工业破坏,而Duqu坏临太送款架负改木马则被用来收集与其攻线纪品月搞约测供或击目标有关的各种情报。
可以说,Duqu木马可以题乎解盗取目标系统中的所有信息,然而,从其发动的攻击情况来看,它似乎只对收集密码、抓取桌面截图(暗中监视用户的操作)、盗取各类文件感兴趣。这些行为预示着网络罪犯使用的技术将开启一个新的时代,网络犯罪将有足够的能力成功执行工业间考极品须龙谍活动,甚至绑架与勒索顶便找处放觉决南管胞采。
目前,业界针对Duqu木马最大的疑示统容而三上齐团是该恶意程序感染计算机后,是如何同命令控植制中心(C&C)进行通讯的。Duqu木马用于同C&C通讯的模块是其有效负荷DLL的一部分。对该有效负荷DLL进行全面的分析后,卡巴斯基实验室的研究者发现该DLL复理游条利的试中存在一段特定采用一种未知编程语言编写的代码,其唯一功能就是同C&C进行通讯。卡巴斯基实验室的研究人已村映贵号行为虽玉电员将这一段未知代码命名为"Duqu架构"。事件驱动架构是作为Duqu框架的一部分或者是"OO C"的扩展而开发。
同Duqu木够牛丝言整拉烟老晶齐马的其它组件不同,Duqu架构并不是采用C++编写,也没有使用微软的Visual C++ 2008进行编译,很可能其编写者使用了一种内部架构,生成了媒介C代码,或者他们使用了一种完全不同的编程语言。此外,卡巴斯基实验室研究人员已经确认该语威突钟张存列裂独言为面向对象式语言,并且能够自行执行其相关行为,而且适合网络应用的开发。
Duqu架构所使用的语言高度专业化,能够让有效负荷DLL同其它Duqu模块独立,通过多种途径包括Windows HTTP、网络端口和代理服务器同C&C建立连接。还能够让有效负荷DLL直接处理来自C&C的HTTP服务器请求,甚至可以在网络中的其它计算机上传播辅助恶意代码,实现可控制并且隐蔽的感染手段,殃及其它计算机。
关注微信