den Duqu 2.0 även känd som Win32.Duqu.B klassificeras som en samling av olika skadliga program upptäcktes av forskare säkerhets från Budapest University of Technology and Economics. Det är en kraftfull uppsättning malware verktyg, men framför allt en trojansk RAT som inte replikera och arbetar genom exploits. De 2.0 versionen innehåller inga egentliga kod i industriella styrsystem och har underrättelseinhämtning moduler riktade till kommunikationsenheter som kan tillhöra olika telekommunikations ge företagen.
Vad är Duqu 2?
Enligt Symantecs rapport om Duqu, det är främst en trojansk häst, som kan ta kontroll över ett system och samla in information utan att upptäckas under lång tid, men också innehåller andra omfattande funktioner. Det skadliga programmet är främst riktar särskilt organisationer i syfte att samla in riktad information. dock, rapporten sägs också att det är möjligt för andra organisationer att bli offer för programvaran. När Symantec experter undersökte dess källkod, De drog slutsatsen att skaparna av Duqu kunde ha haft tillgång till en tidigare malware, kallas Stuxnet (W32.Stuxnet)`S källkod och sedan eventuellt modifierat den för specifika ändamål.
Hur fungerar Duqu 2.0 Fungera?
Att springa, spionprogram måste infektera systemet först. Detta virus tros ha en krypterad installatör körbar som i vissa fall tros sättas på systemet från början. Efter att den verkliga attacken kan börja som en DLL, innehållande inbäddade filer, konfigurationsfil och en drivrutinsfil installeras och registreras av den körbara filen som spelar injektorn roll. DLL-filen sprutas in i Windows processen services.exe (för Windows-datorer) och efter att DLL startar samma injektionsförfarandet till andra processer som kan maskera program`s aktiviteter och bypass säkerhetsprogram, Symantecs experter hävdar.
Nedan, vi ser ett diagram från rapporten, publicerade tillsammans med Symantec en av de experter som först upptäcktes Duqu som beskriver de filer som först hittades:
Figur 1: Komponenter och moduler upptäckte (http://www.crysys.hu/publications/files/bencsathPBF11duqu.pdf sida 6)
I denna situation märkt experter flera olika objekt. Detaljerna om keylogger i programmet är att det är ett fristående program som använder sin interna DLL som samlar datum och styrs av .exe-fil.
De jminet7.sys och cmi4432.sys lastare är mycket lika varandra, eftersom de båda ladda sina versioner av .SYS förare vid den tidpunkt då Windows startar. Andra aktiviteter inkluderar skapandet av de krypterade filerna netp192.pnf och cmi4464.pnf att lagra data. Det är möjligt att de har någon stödjande roll eller skript för att installera filer som en keylogger, etc.
Det var också intressant när Duqu jämfördes med sin föregångare Stuxnet som visas nedan.
Figur 2:Jämförelse mellan Duqu och Stuxnet (http://www.crysys.hu/publications/files/bencsathPBF11duqu.pdf sida 8)
Som syns har det funnits många likheter avslöjats, dock med det 2.0 version, finns det några ändringar i koden, jämfört med den 1.0.
Figur 3. Duqu vs Duqu 2.0 nätkod (http://www.symantec.com/connect/blogs/duqu-20-reemergence-aggressive-cyberespionage-threat)
Experter tror att Duqu har utvecklats av sannolikt en grupp människor i syfte att vistas oupptäckt under en längre livslängd. När ett program som Duqu 2 är utformad för att erhålla data från ett system, god etik är att göra fått information lättillgänglig. 1.0 och 2.0 har liknande delar av den mycket informationslagring kod.
Duqu 2.0 Påverkan
När det upptäcktes först 2011 i två varianter, malware smittade sex organisationer i åtta olika länder, belägen på 3 kontinenter, och de flesta attackerna var belägna i Europa. Det är så kallade föregångare Stuxnet analyserades hela världen av säkerhetsexperter och kommenterade allmänt över media. Säkerhets forskare från Kaspersky hävdade att de var ännu inte kan berätta om den fulla omfattningen av effekterna av viruset, eftersom det aren`t några väsentliga system som påverkas av det.