Найден новый троян Duqu от разработчиков Stuxnet

Компания «Symantec» сообщает, что антивирусные эксперты обнаружили троянскую программу на компьютерах нескольких крупных европейских компаний, которая, как они полагают, была создана создателями печально известного червя «Stuxnet», передаёт «ВордАйти».

Вредоносное программное обеспечение было найдено на заводских системах управления производственными процессами. Также эксперты утверждают, что троянская программа была разработана для кражи производственных секретов и в дальнейшем предназначалась для атак на определённые компании.

«Analysis Symantec» заявила, что червь, названный «Duqu» его первооткрывателями, подобен предыдущему «Stuxnet» во многих проявлениях. Компания «Symantec» заявила, что авторы данного вируса по крайней мере имели доступ к исходному коду червя «Stuxnet» или возможно он был написан одними и теми же разработчиками. Однако, в отличие от «Stuxnet», который был разработан для работы на промышленных системах, «Duqu» является классической шпионской программой для сбора секретной информации. Текущие результаты исследования показывают, что данный вирус не содержит каких-либо разрушающих функций.

Как и все современные троянские программы, такие как «ZeuS», вирус «Duqu» имеет непосредственную связь с главным сервером в зашифрованном виде. Далее со всех заражённых компьютеров он собирает всю важную информацию и отсылает её на сервер. После чего управляющие ботнетом могут легко устанавливать дополнительное программное обеспечение на компьютеры своих «жертв». Также эксперты «Symantec» заявили, что они нашли дополнительные шпионские программы, которые передают скриншоты, любой текст, который набирается с клавиатуры, а также всю информацию о запущенных процессах и сетевых ресурсах.

Судя по всему «Duqu» использовался только для определённых атак, чтобы оставаться незамеченным максимально долгое время. Вирус «Duqu» становится активным только по истечению 15-ти минут после запуска системы. Это сделано для того, чтобы вирус не мог быть обнаружен антивирусной программой. Вредоносная программа самоликвидируется из заражённой системы по истечению 36-ти дней.

Поскольку «Duqu» был найден на компьютерах производителей систем управления производственными процессами, компания «Symantec» полагает, что данное вредоносное программное обеспечение может быть предшественником новых атак подобных «Stuxnet». Злоумышленники могут использовать украденные данные о промышленных системах управления для подготовки дальнейших атак на компании, где эти системы используются. Напомним Вам, что вирус «Stuxnet» предназначался для разрушения ядерной программы Ирана. Как шпионская программа оказалась на компьютерах, остаётся неизвестным. «Symantec» заявила, что вирус попал в систему, вероятно через отдельный инсталлятор, к которому антивирусные эксперты не имели доступа.

Интересным фактом является то, что в момент открытия «Duqu» стало известно, что он был подписан с помощью цифрового сертификата, который действителен до августа 2012-го года и был выдан компанией, базирующейся в Тайбэе, Тайвань. По данным «Symantec», разработчики «Duqu» украли требуемый закрытый ключ для подписи вредоносной программы. С таким сертификатом, вредоносная программа могла быть внедрена в систему, как драйвер ядра и запускаться без каких-либо проблем при каждом запуске системы. Затем инфицированные процессы перенаправляли все данные с помощью функций вызова непосредственно к самой вредоносной программе.

Цифровой сертификат был выдан компанией «VeriSign» и аннулирован 14-го октября 2011-го года, сразу после обнаружения «Duqu». Вирус «Stuxnet» был также подписан с использованием закрытых ключей, которые были выданы тайваньской компании, что свидетельствует о высоком уровне профессионализма.