Polecamy:

• Duqu, wcześniej Stuxnet - nauka poszła w las?
• Stuxnet zagraża nawet dobrze chronionym systemom
• Bezpieczeństwo: Silne hasło to jeszcze za mało

Co to jest Duqu?

Duqu (wym. dyu-kyu) był pierwotnie trojanem pozwalającym na zdalny dostęp do zaatakowanych komputerów. Jego działanie zostało ukierunkowane na ograniczoną liczbę organizacji w Europie, Afryce oraz na Środkowym Wschodzie. Trojan gromadzi informacje pomocne do planowania ataków w przyszłości.

Skąd wzięła się nazwa Duqu?

Malware tworzy pliki z prefiksem DQ.

Dlaczego jest określany jako "syn Stuxneta"?

Wiele kodu tego robaka jest identyczna z kodem źródłowym Stuxneta - malware, który zaatakował instalacje nuklearne w Iranie.

Zobacz również:

• Co trzecia firma w Polsce z cyberincydentem

Od jak dawna trojan ten atakuje komputery?

Został odkryty 1 września br, ale pierwsze komputery mógł zaatakować już w grudniu 2010.

Co robi Duqu?

Dokonuje rekonesansu w zainfekowanych sieciach.

W jaki sposób działa?

Na początku infekuje system. Metoda infekcji (klucze USB, inżynieria społeczna itp.) nie została odkryta. Po uruchomieniu w systemie próbuje się połączyć z serwerem C&C (command and control) w Indiach (obecnie zablokowanym przez ISP), z którego pobiera inny złośliwy kod. W skład pobieranych narzędzi wchodzą keyloggery, programy zbierające dane o systemie i skanujące sieć pod kątem eksploitów. Może także pobierać inne typy złośliwego oprogramowania.

Jaki jest cel jego działania?

Tego do końca nie wiemy. Zdaniem ekspertów ma on przygotowywać grunt pod inny atak. W przeciwieństwie do Stuxneta, Duqu nie zawiera procedur destrukcyjnych, choć mógłby pobrać odpowiednie narzędzia z serwera C&C.

Kto jest celem dla tego trojana?

Tu eksperci się różnią. Jedni uważają, że CA (centra autoryzacyjne certyfikatów SSL), inni zaś uważają, że jeden z europejskich producentów przemysłowych systemów kontrolnych.

Kto za tym stoi?

Prawdopodobnie ta sama grupa, która stworzyła Stuxneta. Wskazuje na to silne podobieństwo kodu źródłowego. Nie wiemy kto napisał Stuxneta, ale ze względu na jego stopień złożoności, wielu ekspertów przypisywało udział jego tworzeniu agencjom rządowym Stanów Zjednoczonych i Izraela.

Jak sprawdzić czy komputer został nim zainfekowany?

Większość (jeśli nie wszyscy) producentów programów antywirusowych dodało już sygnatury tego robaka, jednak jeśli autorzy zaplanują jego ponowne wykorzystanie, postarają się go tak zmodyfikować, by programy go nie wykryły.

Czy zagrożenie jest poważne?

Dzięki zablokowaniu dostępu do serwera C&C trojan wydaje się unieszkodliwiony. Nie wiadomo jednak, czy w takiej sytuacji trojan nie korzysta z zapasowych serwerów C&C. Kod źródłowy nie został jeszcze złamany i przeanalizowany - nie są więc znane jego pełne możliwości.

Kto wykrył trojana Duqu

Stanowi to tajemnicę - zespół opisywany jest jako "niezależna grupa badaczy".