В Сети появился червь Duqu, «родственник» Stuxnet

Сюжет дня

Источники сообщили о прибытии в Грузию подготовленных на Украине снайперов
Армия обороны Израиля наносит удары по Ирану

Версия для печати
В Сети появился червь Duqu, «родственник» Stuxnet
20.10.11 01:29	Армия, ВПК, спецслужбы

Помнится, некоторое время назад новостные ресурсы запестрели заголовками об опаснейшем черве Stuxnet, который поражал специализированное программное обеспечение специфического оборудования АЭС (помнится, под раздачу попадали контроллеры от Siemens). Так вот, сейчас эксперты из Symantec обнаружили родственное червю Stuxnet зловредное ПО, уже получившее название Duqu. По мнению экспертов, этот червь не будет использовать тактику Stuxnet, выбирая несколько иные объекты для поражения. Duqu предназначен для кражи разного рода информации с промышленных объектов. Новый червь был обнаружен только на этой неделе, и специалисты только начали работать с этим ПО. Такое странное название, Duqu, червь получил благодаря расширению создаваемых им файлов, ~DQ. Вот здесь можно найти более-менее полный анализ (первые этапы) червя, проведенный специалистами Symantec. Впервые это ПО было обнаружено в компьютерных системах европейских предприятий. Обнаружен червь был 14 октября, так что у экспертов пока не так и много данных, с которыми можно работать. Информация, которую ищет червь, касается прежде всего документов с описанием ИТ-инфраструктуры предприятия. Вероятно, эти данные нужны злоумышленникам для осуществления последующих атак уже с целью установления контроля над разного типа промышленными системами. Как говорилось выше, Duqu является родственным червю Stuxnet, и содержит части кода, идентичные "атомному" родственнику. Специалисты делают предположение, что с Duqu работала та же команда, представители которой разрабатывали Stuxnet. Дополнительный анализ червя провели представители McAfee, сообщившие, что Duqu также "работает" и в Африке, и на Среднем Востоке, а не только в Европе. Как только червь попадает в систему, сразу устанавливается кейлоггер, записывающий все действия пользователя, а также происходит поиск дополнительной системной информации. Червь может копировать список запущенных в системе процессов, информацию об аккаунте пользователя, а также информацию о домене. Делает он и скриншоты, записывает сетевую информацию, а также "исследует" файлы на всех доступных дисках, включая съемные и сетевые. По данным Symantec, червь работает в системе 36 дней с момента запуска, а потом самоуничтожается. Вот сравнение Stuxnet и нового червя, проведенное Symantec.

Источник: habrahabr.ru	Редактор: forum_russia

nonliquid

20.10.11 10:31

Киберпанк шагает по миру :-)

Надеюсь всё же, что реальный мир будет лучше, чем описывается в произведениях этого жанра.

alx_me

20.10.11 12:14

Сначала вырастили пользователя с понятиями о домохозяйке управляющей своим компьютером. Потом снимают на этом сливки. То же самое и во всех остальных областях где появляются ТНК. Снижение уровня образования, профанация знаний -> "профит". Тут и ботнет и "вирусы" и "черви" и остальные негодные аналогии для адаптации реальности к заниженному уровню понимания "домохозяйки". Привет windows-у, mac-у и его верным хомякам!

alx_me

20.10.11 12:22

И не надо мне тут про то что им и не нужно понимать. Вы все в сетИ сидите и очень многие являются участниками бот-сетей. Простота в данном случае, впрочем как и всегда, хуже воровства. Ваша безопасность это общая безопасность. Какая бы у меня ни была безопасная ОС если все остальные кушают высеры M$ и Apple особенно в системно важных узлах, толку не будет.

gekkon

20.10.11 14:02

alx_me, каким боком здесь домохозяйки? Они не занимаются администрированием промышленных объектов. И их файлы с рецептами блюд или семейные фотоальбомы вряд ли представляют интерес для хозяев Duqu.

alx_me

20.10.11 14:33

> gekkon

Перевод для "домохозяек": "домохозяйки" с их кулинарными и административными пристрастиями являются отличным "питательным бульоном" и "плацдармом" для dq и прочих программ. Для более интересующихся: разница между ОС станции и сервера является маркетологической туфтой.

gekkon

20.10.11 14:39

alx_me, и как этот "питательный бульон" поможет червю подготовиться к атаке на промышленные объекты? То, что везде есть файлы, байты и диски, понятно :) Аналогия для ламеров - вы можете, убивая хомячков, подготовиться к атаке на медведя?

Comnislasher

20.10.11 15:08

gekkon, я подозреваю что alx_me хочет сказать админестраторы промышленных обьектов все кругом ламеры и вообще.

Well

25.10.11 23:26

Оо! Какой однако рукопожатный вирус создан. Думаю, это новый раздел киберфентези в разрезе реального мира. И уже с картинкоме! Это прогресс. Да, это стоит того, чтобы обозвать кибервирус новой виртуальной версии новым именем. Уже даже по табличке он не истоворукопожатен. Особенно в графе про контроллируемый LAN. Особенно, если учесть, что обычно сеть в промышленных преприятиях разделена на изолированные подсети. Особенно, что при запросе меганужного IP адреса пакеты тупо не будут проходить физически через сеть. А значит и искомого объекта не достать. Ну и в нерукопожатных организациях почему-то применяют совершенно изолированные сети. А как следует из описания кибер-мега-вируса он стремится отправлять кучу данных (он ведь их собирает не просто так). Надо бы Голливуду снять об этом фильмец. Ну и про "Как только червь попадает в систему, сразу устанавливается кейлоггер, записывающий все действия пользователя" вообще-то ничего нового в данном случае нет. Подобная активность на раз-два детектируется с помощью любого антивируса, а логи тут же попадают в сисадмину, где подобный "алерт" тут же начинает анализироваться. Скучно. Никакого полета фантазии.

English
Архив
Форум

Сюжет дня

Наши публикациивсе статьи

Новостивсе статьи

Репортаживсе статьи

Комментариивсе статьи

Аналитикавсе статьи

Наши публикации все статьи

Новости все статьи

Репортажи все статьи

Комментарии все статьи

Аналитика все статьи