Niedawne infekcje trojana Duqu, nazwanego bratem Stuxneta – niesławnego szkodliwego programu wykorzystywanego do szantażu przemysłowego, to kolejny przykład wysoce wyrafinowanych ataków cyberprzestępczych. Analiza przeprowadzona przez ekspertów z Kaspersky Lab wykazała, że Duqu stanowił broń wykorzystywaną w atakach skierowanych na konkretne firmy. Z tego powodu żadna infekcja Duqu nie odbywa się przypadkowo. Adres stopduqu@kaspersky.com to cyfrowa gorąca linia dla tych, którzy odkryli, że ich komputer został zainfekowany przez Duqu. Warto podkreślić, że podejście "wylecz i zapomnij" nie sprawdza się w przypadku tego trojana. Każda próba infekcji oznacza, że cyberprzestępcy mieli ważny powód, aby przejąć kontrolę nad danym systemem, dlatego istnieje duże prawdopodobieństwo, że ataki zostaną powtórzone z wykorzystaniem innych metod. Kontaktując się z Kaspersky Lab, firmy i osoby fizyczne mogą zapewnić bezpieczeństwo swoich poufnych danych. Ostatnie odkrycia ekspertów z Kaspersky Lab związane z Duqu pozwoliły ustalić stosowaną przez trojana metodę infekcji, która wcześniej nie była znana. Okazuje się, że w celu przeniknięcia do systemu trojan wykorzystuje oparte na socjotechnice spersonalizowane e-maile. Wiadomości te zawierają plik .doc (działający w programie Microsoft Word), który wykorzystuje błąd w module systemu Windows odpowiedzialnym za obsługę czcionek. Mimo że Microsoft nie opublikował jeszcze ostatecznej łaty na tę lukę, produkty Kaspersky Lab wykrywają i blokują wszelkie wykorzystujące ją szkodliwe programy, łącznie z Duqu. W najnowszej odsłonie analizy Duqu eksperci z Kaspersky Lab opisali sterownik tego trojana – pierwszy komponent ładowany do systemu. Ujawniono również metodę kontaktowania się szkodnika z obsługiwanym przez cyberprzestępców serwerem kontroli, jak również to, że jeden z komponentów Duqu (biblioteka DLL) potrafi łączyć się z zasobami udostępnionymi w sieci, a nawet stać się serwerem kontroli dla innych zainfekowanych maszyn. Eksperci z Kaspersky Lab będą dalej analizowali złożoną strukturę szkodliwej funkcjonalności Duqu, która między innymi obejmuje kradzież poufnych danych. Szczegółowe wyniki analizy trojana Duqu są dostępne na blogu analityków z Kaspersky Lab: http://www.viruslist.pl/weblog.html. Informację można wykorzystać dowolnie z zastrzeżeniem podania Kaspersky Lab jako źródła.
