研究人员发现Duqu病毒新变体 可避开杀毒软件

  • A+
所属分类:未分类

 近日,安全研究人员发现了Duqu网络间谍软件的一个新变体。这个新的间谍软件可以避开杀毒软件产品和其它安全工具的检测。

赛门铁克的研究人员本周一通过Twitter表示,他们发现了一个新的Duqu驱动程序。这是负责安装这个恶意软件加密的主程序的组件。赛门铁克首席安全响应经理维克拉姆·萨库尔(Vikram Thakur)表示,这个驱动程序的名称是“mcd9x86.sys”,是在今年2月23日编辑完成的。

Duqu网络间谍软件最初是在2011年10月被发现的。这个间谍软件与Stuxnet工业间谍蠕虫有关,并且有部分代码相同。然而,与专门进行破坏活动的Stuxnet不同,Duqu的主要目标是从全球机构中窃取敏感信息。

萨库尔称,这个新的驱动程序的发现明确表明,Duqu作者正在继续执行其任务。没有大量的公众熟悉Duqu阻止了他们利用这个恶意软件实现其目标。

卡巴斯基实验室全球研究与分析团队的考斯丁·瑞伍(Costin Raiu)认为,当你向Duqu和Stuxnet投入许多资金以创建一个灵活的框架的时候,你就不可能甩掉它并且从头开始。我们一直说Duqu和Stuxnet未来的变体很可能基于同一个平台。但是,它们有足够大的修改和编辑可以让安全软件不能发现它们。的确,现在就是这种情况。

这个新的驱动程序的源代码已经进行了修改和编辑,采用了与以前版本不同的选择方式。这个新的驱动程序还包含不同的子程序,用于加密设置块和装载这个恶意软件的主程序。

瑞伍称,我们在2011年10月曾经看到过这种技术。当时,在公开曝光之后,Duqu驱动程序重新进行了编辑并且与新的加密子程序捆绑在了一起。

瑞伍表示,这个Duqu变体很可能使用一个新的指挥与控制服务器,因为以前所有的已知的指挥与控制服务器都在2011年10月20日关闭了。然而,赛门铁克和卡巴斯基实验室都不知道这个新的服务器的地址,因为他们没有包含这个信息的组件。

瑞伍称,我们没有得到完整的Duqu主程序,仅仅得到了驱动程式的装载程序。这个装载程序不直接与指挥与控制服务器联系,它仅装载以加密方式存储的主程序。

瑞伍表示,即使这个新的服务器是已知的,它也不会允许任何人接近真正的攻击者。Duqu的作者有信心地认为这个恶意软件源头是不可能被发现的。

瑞伍称,目前还不清楚这个新版本的间谍软件是否对机构实施了攻击。但是,这些间谍软件可能与以前的变体是一样的。

本文出自:亿恩科技【www.enkj.com】

河南亿恩科技股份有限公司(www.enkj.com)始创于2000年,专注服务器托管19年,是国家工信部认定的综合电信服务运营商。亿恩为近五十万的用户提供服务器托管、服务器租用、机柜租用、云服务器、网站建设等网络基础服务,另有网总管、名片侠网络推广服务,使得客户不断的获得更大的收益。 服务热线:400-723-6868 服务器/云主机 24小时售后服务电话:0371-60135900 虚拟主机/智能建站 24小时售后服务电话:0371-55621053
广告也精彩
avatar

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: