FSecure系统最初检测到Duqu是一个Stuxnet变种

东方贤邦
导读 新发现的Duqu蠕虫包含一部分Stuxnet代码,这一事实使许多安全研究人员将其称为Stuxnet 2 0,并推测同一组对这两种恶意软件负责。根据最近

新发现的Duqu蠕虫包含一部分Stuxnet代码,这一事实使许多安全研究人员将其称为Stuxnet 2.0,并推测同一组对这两种恶意软件负责。根据最近的分析,一些研究者现在认为这种关系有点遥远。虽然Duqu与Stuxnet“惊人地相似”,但BitDefender的研究人员波格丹一世博特扎图10月19日在Malware City博客上写道,尽管存在一些差异,但开发者是不同的。他说,代码被重用的事实实际上是另一个团队的有力指标。

博特扎图写道,恶意软件开发者的一般方法是“点击一次,然后处理掉代码”。

在恶意软件开发人员中,代码“重用”是一个坏习惯,因为大多数主要的反病毒供应商都为这个代码示例开发了启发式方法和其他检测功能。当恶意软件是Stuxnet等“重量级”软件时,安全供应商更有可能能够检测到新样本。

根据F-Secure首席研究官Mikko Hypponen的说法,这是实际发生的情况。他说,F-Secure的系统最初检测到Duqu是一个Stuxnet变种。

至于代码相似度,虽然没有提供Stuxnet的实际源代码,但rootkit的二进制文件已经被逆向工程,并于今年早些时候在网上公布。根据BitDefender的说法,这意味着只要稍加调整,任何人都可以将该代码用作具有类似Stuxnet功能的新恶意软件的基础。

根据卡巴斯基实验室的说法,Duqu实际上是至少两个恶意程序的组合。卡巴斯基实验室首席恶意软件专家亚历克斯戈斯捷夫(Alex Gostev)写道,主模块将DLL文件注入被感染的系统,与远程命令和控制服务器配合工作,并包含配置文件。该模块的结构和行为类似于Stuxnet。Securelist博客。第二个程序“基本上是一个键盘记录器”是一个区分最新病毒和Stuxnet的程序。

Gostev说,Duqu的作者在开发过程中实际上“非常谨慎”,“他们能够改变代码,绕过所有流行的防病毒程序进行检测。”他指出,大多数主要的反病毒公司直到10月17日之后才真正检测到Duqu。当赛门铁克发布其调查结果时。

虽然主模块可能在破坏系统后下载了Duqu程序,但Duqu在功能上是一个独立的应用程序,没有主模块也能工作。同样,Stuxnet模块可以在没有Duqu组件的情况下运行。

古斯塔夫说,“键盘记录器和Stuxnet之间的联系并不明显,这就是为什么它可能——甚至称之为Stuxnet的孙子,但肯定不是它的后代。”

Stuxnet也有两部分。蠕虫专注于感染和复制,而“弹头”的目标是工业控制系统。卡巴斯基此前暗示,Stuxnet是由两个不同的小组开发的,他们可能不知道对方的存在或恶意软件的最终目的。

戈斯捷夫说,在杜曲也发生过类似的事情,只不过没有“弹头”,因为蠕虫除了收集信息之外没有任何活动。

BitDefender指出,Duqu的目的与Stuxnet不同。当Stuxnet被用于破坏时,Duqu旨在从受感染的系统中收集信息。根据BitDefender的说法,尽管Duqu收集这种信息,但它“不应被视为复杂的键盘记录器”。

BitDefender没有贬低威胁的严重性,指出用户仍需保持警惕。

普华永道能源、公用事业和发电集团首席顾问布拉德鲍奇(Brad Bauch)告诉eWEEK:“Duqu的发现凸显了电力和公用事业公司识别、分类和保护其专有信息的必要性。”他说,尽管Duqu无意像Stuxnet一样破坏实际的工业控制系统,但公共事业公司必须实施“有效的信息保护策略”,以防止数据被盗。

目前,我们不知道都曲摧毁了什么样的组织。赛门铁克在其分析中没有披露这一信息,而迈克菲的研究人员表示,世界各地的认证机构都已成为目标。卡巴斯基戈斯托夫说,一些被感染的公司在匈牙利。

标签:

免责声明:本文由用户上传,如有侵权请联系删除!