Помнится, некоторое время назад новостные ресурсы запестрели заголовками об опаснейшем черве Stuxnet, который поражал специализированное программное обеспечение специфического оборудования АЭС (помнится, под раздачу попадали контроллеры от Siemens). Так вот, сейчас эксперты из Symantec обнаружили родственное червю Stuxnet зловредное ПО, уже получившее название Duqu. По мнению экспертов, этот червь не будет использовать тактику Stuxnet, выбирая несколько иные объекты для поражения. Duqu предназначен для кражи разного рода информации с промышленных объектов. Новый червь был обнаружен только на этой неделе, и специалисты только начали работать с этим ПО.
Такое странное название, Duqu, червь получил благодаря расширению создаваемых им файлов, ~DQ. Вот здесь можно найти более-менее полный анализ (первые этапы) червя, проведенный специалистами Symantec. Впервые это ПО было обнаружено в компьютерных системах европейских предприятий. Обнаружен червь был 14 октября, так что у экспертов пока не так и много данных, с которыми можно работать.
Информация, которую ищет червь, касается прежде всего документов с описанием ИТ-инфраструктуры предприятия. Вероятно, эти данные нужны злоумышленникам для осуществления последующих атак уже с целью установления контроля над разного типа промышленными системами. Как говорилось выше, Duqu является родственным червю Stuxnet, и содержит части кода, идентичные «атомному» родственнику. Специалисты делают предположение, что с Duqu работала та же команда, представители которой разрабатывали Stuxnet.
Дополнительный анализ червя провели представители McAfee, сообщившие, что Duqu также «работает» и в Африке, и на Среднем Востоке, а не только в Европе. Как только червь попадает в систему, сразу устанавливается кейлоггер, записывающий все действия пользователя, а также происходит поиск дополнительной системной информации. Червь может копировать список запущенных в системе процессов, информацию об аккаунте пользователя, а также информацию о домене. Делает он и скриншоты, записывает сетевую информацию, а также «исследует» файлы на всех доступных дисках, включая съемные и сетевые.
По данным Symantec, червь работает в системе 36 дней с момента запуска, а потом самоуничтожается.
Вот сравнение Stuxnet и нового червя, проведенное Symantec.
Via techtarget