Недавно обнаруженная модификация Duqu использует новый алгоритм шифрования своего функционального модуля.
Эксперты антивирусной компании Symantec сообщили о том, что ими была обнаружена модификация вируса Duqu. Найденный файл W32.Duqu являет собой лишь один из компонентов, который используется для загрузки остальной части вредоносной программы, когда компьютер перезагружается. Остальная информация до перезагрузки хранится на локальном диске в зашифрованном виде.
Датой компиляции нового компонента Duqu значится 23 февраля 2012 года, из чего можно заключить, что вредоносная программа эксплуатируется меньше одного месяца. Анализ модификаций полученного кода выявил, что его разработчики добавили возможность обхода некоторых функций обнаружения программ безопасности, в эффективности которой сотрудники Symantec сомневаются.
Одним из самых значимых новшеств вируса считается изменение алгоритма шифрования, используемого для скрытия содержимого остальных компонентов. Еще одним различием данной программы является использование нового системного драйвера. Если драйвер обнаруженных ранее экземпляров вируса использовал похищенный сертификат, то у рассматриваемой программы сертификата нет. В данном случае файл Duqu выдает себя за драйвер Microsoft Class.
Эксперты отмечают, что это первая реализация Duqu, обнаруженная в текущем году. До этого три уникальные версии трояна были обнаружены в октябре и ноябре 2011 года. Также в Symantec отмечают наличие доказательств активного использования более ранней версии вредоносной программы.
С уведомлением компании Symantec можно ознакомиться здесь.
Отметим, что недавно экспертам «Лаборатории Касперского» удалось определить язык , на котором написан Duqu. Этим языком была названа объектно-ориентированная надстройка C, основанная на макросах или стороннем препроцессоре. Еще одним вероятным способом создания Duqu называется чистый C c применением объектно-ориентированных методов, но, с учетом количества однотипного кода в конструкторах и других функциях, предыдущий вариант считается более вероятным. Исследователям также удалось определить используемый при создании вируса компилятор, которым оказался Microsoft Visual Studio (MSVC).
Впервые о существовании вируса Duqu стало широко известно осенью прошлого года. В то время ряд европейских компаний, часть из которых занимается промышленным производством, обнаружили на своих системах вирусные программы, имеющие сходство с червем Stuxnet, поразившим предприятия Ирана. Для распространения вируса злоумышленники использовали уязвимость нулевого дня. Расследования крупных антивирусных компаний показали, что вирус состоит из двух модулей, один из которых являет собой компонент дроппера, а второй может нести различный функционал.
