Погода:
Киев сегодня
Киев
Донецк
Одесса
Львов
Харьков
Санкт-Петербург
Москва
Сегодня Завтра
Валюта:
НБУ
НБУ Межбанк Наличные
EUR
26.18
USD
23.49
RUB
0.37
EUR
39.04
USD
36.57
RUB
0.34
EUR
29.22
USD
26.07
RUB
0.46
IT-Индустрия
ИТ-Новости
28 октября 11, 11:34
ESET восстановила алгоритм шифрования файлов Duqu
ESET
0
  • 1
  • 2
  • 3
  • 4
  • 5
  • Текущий рейтинг
0/5 (0 голосов)
Российские специалисты разработали метод определения точной даты заражения ПО.

Российские специалисты компании ESET разработали метод определения точной даты проникновения вредоносных программ семейства Win32/Duqu в систему компьютера.

Duqu - троянская программа, которая может быть использована для целенаправленных атак на крупные компании и промышленные предприятия. Вирусные аналитики ESET провели исследование файлов, полученных с зараженных данным вредоносным ПО компьютеров. Это позволило установить, что технологическое устройство Duqu совпадает с концепциями, реализованными в Stuxnet, а функционал проанализированных драйверов, устанавливаемых Duqu, практически полностью повторяет код Stuxnet. То есть создателями данного вредоносного ПО является организация или группа людей, которая обладает доступом к исходным кодам уже некогда нашумевшего шпионского червя.

"После появления у нас образцов Win32/Duqu наше исследовательское подразделение сразу же сконцентрировалось на детальном анализе этой угрозы. Однако пока еще рано делать какие-то выводы о точных целях Duqu, и мы активно продолжаем наше исследование", - отметил Александр Матросов, директор центра вирусных исследований и аналитики ESET.

Российские специалисты восстановили алгоритм шифрования конфигурационных файлов Duqu и его формат. При этом они разработали методику определения точной даты заражения системы данной троянской программой, что особенно важно при проведении криминалистической экспертизы при инцидентах, связанных с заражениями компьютеров на промышленных предприятиях. Кроме того, определение времени инфицирования системы также необходимо из-за особенностей распространения Duqu - срок его пребывания в системе компьютера ограничен.

"На исследуемых нами образцах нам удалось установить даты заражения: первый набор показал дату 11/08/2011 (07:50:01), а второй - 18/08/2011 (07:29:07), - добавил Александр Матросов. - Интересно, что время заражения системы Duqu практически идентично, но с разницей в одну неделю. При этом извлеченные образцы были из разных мест, что может говорить о том, что была проведена группа целенаправленных атак, однако пока их точная мотивация неизвестна".

На сегодняшний день наиболее вероятной версией появления Duqu является сбор информации и дальнейшее координирование действий вредоносной программы из командного центра. При этом Duqu может скачивать и устанавливать дополнительный функционал в виде модулей, которые уже выполняют основные цели атаки.
astera.ru
Ещё по теме:
Новый червь Linux/Remaiten опасен для роутеров и модемов
В Украине выявили крупнейшую бот-сеть хакеров из РФ
ESET увеличила долю рынка информационной безопасности
ESET предупреждает о новой атаке на устройства Apple
  • 1
  • 2
  • 3
  • 4
  • 5
  • Текущий рейтинг
Комментарии (0)
Войти через: