研究人員發(fā)現(xiàn)Duqu病毒新變體 可避開殺毒軟件

賽門鐵克的研究人員本周一通過Twitter表示，他們發(fā)現(xiàn)了一個(gè)新的Duqu驅(qū)動(dòng)程序。這是負(fù)責(zé)安裝這個(gè)惡意軟件加密的主程序的組件。賽門鐵克首席安全響應(yīng)經(jīng)理維克拉姆·薩庫(kù)爾(Vikram Thakur)表示，這個(gè)驅(qū)動(dòng)程序的名稱是“mcd9x86.sys”，是在今年2月23日編輯完成的。

Duqu網(wǎng)絡(luò)間諜軟件最初是在2011年10月被發(fā)現(xiàn)的。這個(gè)間諜軟件與Stuxnet工業(yè)間諜蠕蟲有關(guān)，并且有部分代碼相同。然而，與專門進(jìn)行破壞活動(dòng)的Stuxnet不同，Duqu的主要目標(biāo)是從全球機(jī)構(gòu)中竊取敏感信息。

薩庫(kù)爾稱，這個(gè)新的驅(qū)動(dòng)程序的發(fā)現(xiàn)明確表明，Duqu作者正在繼續(xù)執(zhí)行其任務(wù)。沒有大量的公眾熟悉Duqu阻止了他們利用這個(gè)惡意軟件實(shí)現(xiàn)其目標(biāo)。

卡巴斯基實(shí)驗(yàn)室全球研究與分析團(tuán)隊(duì)的考斯丁·瑞伍(Costin Raiu)認(rèn)為，當(dāng)你向Duqu和Stuxnet投入許多資金以創(chuàng)建一個(gè)靈活的框架的時(shí)候，你就不可能甩掉它并且從頭開始。我們一直說(shuō)Duqu和Stuxnet未來(lái)的變體很可能基于同一個(gè)平臺(tái)。但是，它們有足夠大的修改和編輯可以讓安全軟件不能發(fā)現(xiàn)它們。的確，現(xiàn)在就是這種情況。

這個(gè)新的驅(qū)動(dòng)程序的源代碼已經(jīng)進(jìn)行了修改和編輯，采用了與以前版本不同的選擇方式。這個(gè)新的驅(qū)動(dòng)程序還包含不同的子程序，用于加密設(shè)置塊和裝載這個(gè)惡意軟件的主程序。

瑞伍稱，我們?cè)?011年10月曾經(jīng)看到過這種技術(shù)。當(dāng)時(shí)，在公開曝光之后，Duqu驅(qū)動(dòng)程序重新進(jìn)行了編輯并且與新的加密子程序捆綁在了一起。

瑞伍表示，這個(gè)Duqu變體很可能使用一個(gè)新的指揮與控制服務(wù)器，因?yàn)橐郧八�有的已知的指揮與控制服務(wù)器都在2011年10月20日關(guān)閉了。然而，賽門鐵克和卡巴斯基實(shí)驗(yàn)室都不知道這個(gè)新的服務(wù)器的地址，因?yàn)樗麄儧]有包含這個(gè)信息的組件。

瑞伍稱，我們沒有得到完整的Duqu主程序，僅僅得到了驅(qū)動(dòng)程式的裝載程序。這個(gè)裝載程序不直接與指揮與控制服務(wù)器聯(lián)系，它僅裝載以加密方式存儲(chǔ)的主程序。

瑞伍表示，即使這個(gè)新的服務(wù)器是已知的，它也不會(huì)允許任何人接近真正的攻擊者。Duqu的作者有信心地認(rèn)為這個(gè)惡意軟件源頭是不可能被發(fā)現(xiàn)的。

瑞伍稱，目前還不清楚這個(gè)新版本的間諜軟件是否對(duì)機(jī)構(gòu)實(shí)施了攻擊。但是，這些間諜軟件可能與以前的變體是一樣的。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]