Duqu - syn Stuxneta w pytaniach i odpowiedziach

Choć Duqu powstał w innym celu niż Stuxnet, kody źródłowe obu programów są bardzo podobne. Prezentujemy kilka pytań i odpowiedzi związanych z tym głośnym ostatnimi czasy zagrożeniem.

Co to jest Duqu?

Duqu (wym. dyu-kyu) był pierwotnie trojanem pozwalającym na zdalny dostęp do zaatakowanych komputerów. Jego działanie zostało ukierunkowane na ograniczoną liczbę organizacji w Europie, Afryce oraz na Środkowym Wschodzie. Trojan gromadzi informacje pomocne do planowania ataków w przyszłości.

Skąd wzięła się nazwa Duqu?

Malware tworzy pliki z prefiksem DQ.

Dlaczego jest określany jako "syn Stuxneta"?

Wiele kodu tego robaka jest identyczna z kodem źródłowym Stuxneta - malware, który zaatakował instalacje nuklearne w Iranie.

Zobacz również:

  • Rosyjski botnet zaskoczył mocno ekspertów do spraw bezpieczeństwa

Od jak dawna trojan ten atakuje komputery?

Został odkryty 1 września br, ale pierwsze komputery mógł zaatakować już w grudniu 2010.

Co robi Duqu?

Dokonuje rekonesansu w zainfekowanych sieciach.

W jaki sposób działa?

Na początku infekuje system. Metoda infekcji (klucze USB, inżynieria społeczna itp.) nie została odkryta. Po uruchomieniu w systemie próbuje się połączyć z serwerem C&C (command and control) w Indiach (obecnie zablokowanym przez ISP), z którego pobiera inny złośliwy kod. W skład pobieranych narzędzi wchodzą keyloggery, programy zbierające dane o systemie i skanujące sieć pod kątem eksploitów. Może także pobierać inne typy złośliwego oprogramowania.

Jaki jest cel jego działania?

Tego do końca nie wiemy. Zdaniem ekspertów ma on przygotowywać grunt pod inny atak. W przeciwieństwie do Stuxneta, Duqu nie zawiera procedur destrukcyjnych, choć mógłby pobrać odpowiednie narzędzia z serwera C&C.

Kto jest celem dla tego trojana?

Tu eksperci się różnią. Jedni uważają, że CA (centra autoryzacyjne certyfikatów SSL), inni zaś uważają, że jeden z europejskich producentów przemysłowych systemów kontrolnych.

Kto za tym stoi?

Prawdopodobnie ta sama grupa, która stworzyła Stuxneta. Wskazuje na to silne podobieństwo kodu źródłowego. Nie wiemy kto napisał Stuxneta, ale ze względu na jego stopień złożoności, wielu ekspertów przypisywało udział jego tworzeniu agencjom rządowym Stanów Zjednoczonych i Izraela.

Jak sprawdzić czy komputer został nim zainfekowany?

Większość (jeśli nie wszyscy) producentów programów antywirusowych dodało już sygnatury tego robaka, jednak jeśli autorzy zaplanują jego ponowne wykorzystanie, postarają się go tak zmodyfikować, by programy go nie wykryły.

Czy zagrożenie jest poważne?

Dzięki zablokowaniu dostępu do serwera C&C trojan wydaje się unieszkodliwiony. Nie wiadomo jednak, czy w takiej sytuacji trojan nie korzysta z zapasowych serwerów C&C. Kod źródłowy nie został jeszcze złamany i przeanalizowany - nie są więc znane jego pełne możliwości.

Kto wykrył trojana Duqu

Stanowi to tajemnicę - zespół opisywany jest jako "niezależna grupa badaczy".

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200