ESET разработал метод определения точной даты заражения

МОСКВА, 26 октября 2011 года. РЕГНУМ.
ESET разработал метод определения точной даты
заражения Duqu
Компания ESET, международный разработчик антивирусного ПО и решений в области
компьютерной безопасности, сообщает о том, что российские специалисты компании
разработали метод определения точной даты проникновения вредоносных программ
семейства Win32/Duqu в систему компьютера.
Duqu – троянская программа, которая может быть использована для целенаправленных
атак на крупные компании и промышленные предприятия. Вирусные аналитики компании
ESET провели исследование файлов, полученных с зараженных данным вредоносным ПО
компьютеров. Это позволило установить, что технологическое устройство Duqu совпадает
с концепциями, реализованными в Stuxnet, а функционал проанализированных драйверов,
устанавливаемых Duqu, практически полностью повторяет код Stuxnet. То есть создателями
данного вредоносного ПО является организация или группа людей, которая обладает
доступом к исходным кодам уже некогда нашумевшего шпионского червя.
«После появления у нас образцов Win32/Duqu, наше исследовательское подразделение
сразу же сконцентрировалось на детальном анализе этой угрозы, – комментирует Александр
Матросов, директор Центра вирусных исследований и аналитики ESET. – Дополнительным
стимулом к повышенному интересу с нашей стороны к Duqu было очень большое сходство в
технической реализации этой угрозы с червем Stuxnet, который мы детально изучали осенью
прошлого года. Однако пока еще рано делать какие-то выводы о точных целях Duqu, и мы
активно продолжаем наше исследование.»
Российские специалисты ESET также восстановили алгоритм шифрования конфигура­
ционных файлов Duqu и его формат. При этом они разработали методику определения точной
даты заражения системы данной троянской программой, что особенно важно при проведении
криминалистической экспертизы при инцидентах, связанных с заражениями компьютеров на
промышленных предприятиях. Кроме того, определение времени инфицирования системы
также необходимо из-за особенностей распространения Duqu – срок его пребывания в
системе компьютера ограничен. «На исследуемых нами образцах нам удалось установить
даты заражения: первый набор показал дату 11/08/2011 (07:50:01), а второй – 18/08/2011
(07:29:07), – продолжает Александр Матросов. – Интересно, что время заражения системы
Duqu практически идентично, но с разницей в одну неделю. При этом извлеченные образцы
были из разных мест, что может говорить о том, что была проведена группа целенаправленных
атак, однако пока их точная мотивация неизвестна.»
На сегодняшний день наиболее вероятной версией появления Duqu является сбор информации
и дальнейшее координирование действий вредоносной программы из командного центра. При
этом Duqu может скачивать и устанавливать дополнительный функционал в виде модулей,
которые уже выполняют основные цели атаки.
http://www.regnum.ru/news/1460327.html