Kaspersky Lab: szkodliwe programy XI 2011

Przeczytaj także: Kaspersky Lab: szkodliwe programy X 2011

Pod względem tradycyjnych zagrożeń listopad okazał się relatywnie spokojnym miesiącem. Autorzy szkodliwych programów skupili się na rozwijaniu istniejącej już technologii – dlatego w ciągu miesiąca nie pojawiły żadne znaczące szkodliwe programy.

Temat miesiąca: DUQU – śledztwo trwa

W centrum zainteresowania, zarówno ekspertów ds. bezpieczeństwa IT jak i mediów, pozostawał trojan Duqu, który został wykryty we wrześniu, natomiast rozgłos zyskał w październiku. Najważniejszą informacją było wykrycie sposobu przenikania tego szkodnika do systemów komputerowych. Udało się ustalić, że ataki odbywały się za pośrednictwem poczty elektronicznej i wykorzystywały dokument Microsoft Word, który zawierał exploita wykorzystującego nieznaną wcześniej lukę w Windowsie. Błąd w win32k.sys umożliwiał uruchomienie z pliku kodu posiadającego uprawnienia systemowe.

Jest to kolejne podobieństwo między Duqu, a Stuxnetem, który również wykorzystywał nieznaną wcześniej lukę. Już w październiku pisaliśmy, że odkrycie droppera Duqu stanowi istotną wskazówkę mogącą pomóc rozwikłać tajemnicę pochodzenia tego trojana oraz że dropper ten prawdopodobnie zawiera exploita dla tego rodzaju luki.

Eksperci z Kaspersky Lab zdołali dotrzeć do pierwotnej wiadomości zawierającej droppera i exploita, która została wysłana ofierze w Sudanie. Szczegółowa analiza została opublikowana na blogu analityków. Kaspersky Lab natychmiast dodał sygnaturę dla tego exploita do baz wykorzystywanych przez swoje produkty.

Co istotne, przed początkiem grudnia Microsoft wciąż nie opublikował jeszcze łaty na tę lukę. To oznacza, że istnieje duże ryzyko wykorzystania jej podczas przeprowadzania ataków.

Oprócz analizy omawianej luki przyjrzeliśmy się bliżej kilku serwerom kontrolowanym przez Duqu w różnych państwach. Niestety, od opublikowania informacji o działaniach osób odpowiedzialnych za Duqu nie trzeba było długo czekać na ich reakcję. 20 października rozpoczęła się główna operacja czyszczenia sieci Duqu, w której usuwane były ślady z wszystkich zainfekowanych serwerów na świecie. Mimo to udało nam się zdobyć pewne informacje pomocne w naszym dochodzeniu.

Wszystkie posiadane przez nas informacje sugerują, że Duqu został stworzony w celu gromadzenia danych dotyczących działań określonych irańskich firm i agencji. Wiele wskazuje na to, że wczesne wersje Duqu istniały już od 2007-2008 roku i że robak Stuxnet został stworzony w oparciu o platformę, która została również wykorzystana podczas tworzenia Duqu. Niewykuczone, że Duqu i Stuxnet były rozwijane równolegle.