Вредоносное ПО Duqu использует в работе ранее неизвестную уязвимость в Windows

Согласно данным венгерских ИТ-специалистов, сетевой червь Duqu использует для кражи закрытых данных прежде неизвестную уязвимость в ядре Microsoft Windows. Уязвимость "нулевого дня" вызывается при помощи специально сконструированного Word-файла, образцы которого были обнаружены и исследованы венгерской лабораторией CrySyS (Laboratory of Cryptography and System Security).

Напомним, что ранее компания Symantec провела первый широкий анализ кода Duqu, заметив, что данный вредоносный код предназначен для атаки промышленных объектов, причем за написанием Duqu и нашумевшего червя Stuxnet, скорее всего, стоят одни и те же люди. В Crysys.hu говорят, что обнаруженные ими образцы червя "определенно направлены на получение промышленных данных".

В то же время в подразделении Dell SecureWorks говорят, что также провели анализ работы Duqu и полагают, что коды Stuxnet и Duqu имеют мало что общего, более того, за реальным написанием последнего могут стоять совершенно другие люди, которые, впрочем, также ориентированы на получение промышленных данных. В компании Dell говорят, что Duqu представляет собой вредонос, состоящий из двух частей, созданных по аналогии с тем, как работают многие руткиты. При попадании в систему он пытается подгрузить набор зашифрованных DLL-файлов, которые работают как драйвер уровня ядра. Для установки в систему драйверы используют краденные сертификаты тайваньской компании JMicron.

Алгоритм работы Duqu (по версии Symantec)

 После полного развертывания в системе Duqu уже не использует каких-либо уязвимостей и просто работает как системный компонент. Опасность заключается в том, что антивирусные компании пока не могут вычислить основную цель Duqu и типы атакуемого оборудования. В случае со Stuxnet было понятно, что червь атакует оборудование Siemens на атомных станциях в Иране, США, России и Израиле.

Также в компании Dell SecureWork полагают, что уязвимости, используемые Duqu, не будут устранены в следующий вторник корпорацией Microsoft, которая планирует выпустить ноябрьский набор патчей для своих продуктов.

"Базовые цели Duqu и его происхождение пока остаются загадкой, странно также и то, что он зачастую используется в массовых рассылках, хотя предназначен для таргетированных атак", - говорят в Dell SecureWorks.

Ранее "Лаборатория Касперского" опубликовала данные, согласно которым первые следы Duqu были обнаружены в Венгрии в начале октября. Позже появились данные, что Duqu в первую очередь начал атаковать промышленные объекты в Судане и Иране, хотя антивирусная компания заявляет, что это еще не говорит об ориентированности Duqu именно на эти страны.

Также в Symantec сообщили, что если первые версии Duqu пытались общаться с коммуникационными серверами на территории Индии (сейчас эти серверы уже отключены полицией), то последние версии Duqu, реализованные при помощи документа Word, уже пытаются связываться с выделенными серверами в Бельгии. Вчера бельгийские серверы также были отключены.