Symantec: Duqu экплуатирует zero-day уязвимость в ядре Windows

Корпорация Symantec сообщила о новых подробностях исследования нашумевшей вредоносной программы Duqu. Совместно с компанией CrySyS специалистам Symantec удалось обнаружить и провести анализ инсталляционного файла трояна, который до сих пор не был никем идентифицирован.

Symantec: Duqu экплуатирует zero-day уязвимость в ядре Windows

Как выяснилось, данный файл представляет собой документ офисного приложения Microsoft Word (.doc). Инфицирование системы происходит посредством эксплуатации ранее неизвестной, и, соответственно, незакрытой уязвимости в ядре Windows, допускающей выполнение вредоносного кода. В случае запуска файла, на целевой компьютер происходит установка файлов Duqu.
По данным экспертов корпорации Symantec, документ был сконфигурирован таким образом, чтобы заражение было возможно только в определенный срок, и предназначался только для обозначенных предприятий. Вредоносной программе было отведено на процесс заражения восемь дней в августе текущего года. Заметим, что данный образец инсталляционного файла на данный момент является единственным в своем роде, однако не исключено, что существует еще несколько его разновидностей.
В результате инфицирования целевой системы злоумышленники получают возможность управления действиями Duqu. Как показало расследование, проведенное в одной из пострадавших организаций, управление трояном осуществлялось через сетевой протокол прикладного уровня (SMB), используемого для предоставления удаленного доступа к компьютеру. Важно заметить, что некоторые из зараженных машин не имели подключения к Интернету. Однако файлы конфигурации вредоносной программы, найденные на них, были сформированы таким образом, что связь с удаленным контрольно - командным сервером (C&C) осуществлялась через некий общий C&C протокол, посредством которого «общались» все зараженные компьютеры. Таким образом, с помощью остальных компьютеров, которые в данном случае использовались в качестве прокси-серверов, злоумышленники могли получить доступ к безопасной зоне.
По данным Symantec, угроза успела распространиться в нескольких странах, несмотря на то, что общее число компаний, подтвердивших наличие угрозы сравнительно небольшое. Тем не менее, угроза была замечена в шести организациях, расположенных в восьми странах - во Франции, Нидерландах, Швейцарии, Украине Индии, Иране, Судане и Вьетнаме. Важно отметить, что эта информация была получена через интернет провайдера, а, следовательно, их количество может быть иным. Более того, невозможно точно идентифицировать предприятие по IP адресу.
И наконец, в ходе проведенной работы стало известно о наличии иного образца Duqu, отличного от ранее известных, контрольно - командный сервер которых находился в Индии. У этого экземпляра C&C сервер находится в Бельгии с IP адресом '77.241.93.160'. В настоящий момент он уже отключен.

Новость добавлена: 05.11.2011 12:02:00
Автор: Уставший от гаджетов
Просмотров: 1431
< Предыдущая новость
23-дюймовый 3D монитор ViewSonic V3D231 выходит в продажу23-дюймовый 3D монитор ViewSonic V3D231 выходит в продажу

Компания «Марвел-Дистрибуция» официально представила на российском рынке новый 3D монитор ViewSonic V3D231 с диагональю 23 дюйма и светодиодной подсветкой, повышающей качество изображения и помогающей экономить энергию. Одной из основных особенностей... прочитать новость >>

Новость добавлена: 05.11.2011 15:02:21
Автор: iPhone Girl
Просмотров: 1362
Следующая новость >
Стали известны цены BlackBerry Bold 9900, Torch 9860 и Curve 9360Стали известны цены BlackBerry Bold 9900, Torch 9860 и Curve 9360

Американский оператор сотовой связи AT&T официально заявил, что в этом месяце представит три новых смартфона линейки BlackBerry, а именно BlackBerry Bold 9900, BlackBerry Torch 9860 и BlackBerry Curve 9360. Модели Bold 9900 (фото выше)... прочитать новость >>

Новость добавлена: 05.11.2011 11:23:49
Автор: Administrator
Просмотров: 1237