Szkodliwe programy Stuxnet/Duqu a platforma "Tilded"

Przeczytaj także: Ukierunkowane ataki trojana Duqu

17 lipca 2010 roku ESET wykrył kolejny sterownik „na wolności” - jmidebs.sys – który był bardzo podobny do znanego już mrxcls.sys, ale został stworzony zaledwie trzy dni przed wykryciem. Sterownik został opatrzony nowym certyfikatem – tym razem wydanym przez Jmicron.

Do niedawna nie było wiadomo, jaki jest cel tego pliku, jednak powszechnie uważano, że był spokrewniony ze Stuxnetem. Według jednej z teorii, centrum kontroli Stuxneta próbowało zastąpić starą wersję z certyfikatem Realtek nową. Autorzy robaka albo mieli nadzieję, że w ten sposób uniemożliwią wykrycie go przez programy antywirusowe, albo zastąpili certyfikat, który został zablokowany.

Niestety, teoria ta nie została potwierdzona - Jmidebs.sys nigdy nie został nigdzie wykryty. Nie znaleziono również nowej wersji Stuxneta potrafiącej zainstalować ten plik.

Taka jest oficjalna historia o Stuxnecie. Jednak, jak już wspomniałem wyżej, w trakcie naszych badań odkryliśmy nowy dowód, który zostanie omówiony w dalszej części tego tekstu.