Kaspersky Lab: szkodliwe programy III 2012

Przeczytaj także: Kaspersky Lab: szkodliwe programy II 2012

Duqu

Dochodzenie dotyczące trojana Duqu trwa już od sześciu miesięcy. W marcu odnotowaliśmy kolejny postęp w tej sprawie, ponieważ udało nam się ustalić, jaki język został wykorzystany w kodzie szkieletu tego szkodnika. Odkrycie to zostało dokonane z pomocą międzynarodowej społeczności IT, od której uzyskaliśmy kilkaset możliwych wyjaśnień i hipotez.

Szkielet Duqu został napisany w języku C i skompilowany przy użyciu MSVC 2008 z opcjami "/O1" oraz "/Ob1". Jego twórcy najprawdopodobniej wykorzystali obiektowe rozszerzenie języka C, standardowo określane jako “OO C”. Architektura oparta na zdarzeniach została rozwinięta w ramach szkieletu lub rozszerzenia OO C. Kod odpowiedzialny za komunikację z centrum kontroli (C&C) mógł zostać zapożyczony z innego projektu dot. szkodliwego oprogramowania, a następnie dostosowany do potrzeb Duqu. Uważamy, że kod został napisany przez profesjonalistów, którzy wykorzystali wiedzę programistyczną pochodzącą najprawdopodobniej ze „starej szkoły”. Podejście przyjęte przez twórców Duqu zwykle można spotkać w poważnych projektach programistycznych, jednak prawie nigdy w szkodliwych programach. Jest to jeszcze jeden dowód na to, że Duqu, wraz ze Stuxnetem, to unikatowy szkodnik, który wyróżnia się na tle innych szkodliwych programów.

Po zainwestowaniu ogromnych pieniędzy w takie projekty jak Duqu i Stuxnet nie jest łatwo zamknąć to wszystko tak po prostu. W marcu znaleźliśmy na wolności nowy sterownik, który był praktycznie identyczny z tymi wykorzystywanymi wcześniej w Duqu. Poprzednie sterowniki zostały stworzone 3 listopada 2010 roku oraz 17 października, natomiast nowy - 23 lutego 2010 r. Wygląda na to, że twórcy Duqu powrócili do pracy po zaledwie 4 miesięcznej przerwie.

Nowy sterownik Duqu posiada te same możliwości co wcześniej znane wersje. Zmiany w kodzie są nieznaczne, pokazują jednak, że twórcy odrobili pracę domową i naprawili błędy, aby uniknąć wykrycia. Nie wykryliśmy głównego modułu Duqu związanego z tym sterownikiem.

Walka z cyberprzestępczością

Zamknięcie drugiego botnetu Hlux/Kelihos

Kaspersky Lab, we współpracy z CrowdStrike, Dell SecureWorks oraz projektem Honeynet, rozbił drugi botnet Hlux/Kelihos. Naukowcy określają ten botnet jako Kelihos.B, aby zaznaczyć, że został stworzony przy użyciu drugiej, zmodyfikowanej wersji oryginalnego bota.

21 marca zaczęliśmy wprowadzać do botnetu specjalny router leja (sinkhole). Chcieliśmy, aby zainfekowane komputery komunikowały się tylko z tym routerem. W ciągu tygodnia ponad 116 000 botów nawiązało kontakt z naszym routerem, co pozwoliło nam przejąć na nimi kontrolę.