研究人员发现Duqu病毒新变体 可避开杀毒软件

安全
近日,安全研究人员发现了Duqu网络间谍软件的一个新变体。这个新的间谍软件可以避开杀毒软件产品和其它安全工具的检测。

近日,安全研究人员发现了Duqu网络间谍软件的一个新变体。这个新的间谍软件可以避开杀毒软件产品和其它安全工具的检测。

赛门铁克的研究人员本周一通过Twitter表示,他们发现了一个新的Duqu驱动程序。这是负责安装这个恶意软件加密的主程序的组件。赛门铁克首席安全响应经理维克拉姆·萨库尔(Vikram Thakur)表示,这个驱动程序的名称是“mcd9x86.sys”,是在今年2月23日编辑完成的。

Duqu网络间谍软件最初是在2011年10月被发现的。这个间谍软件与Stuxnet工业间谍蠕虫有关,并且有部分代码相同。然而,与专门进行破坏活动的Stuxnet不同,Duqu的主要目标是从全球机构中窃取敏感信息。

萨库尔称,这个新的驱动程序的发现明确表明,Duqu作者正在继续执行其任务。没有大量的公众熟悉Duqu阻止了他们利用这个恶意软件实现其目标。

卡巴斯基实验室全球研究与分析团队的考斯丁·瑞伍(Costin Raiu)认为,当你向Duqu和Stuxnet投入许多资金以创建一个灵活的框架的时候,你就不可能甩掉它并且从头开始。我们一直说Duqu和Stuxnet未来的变体很可能基于同一个平台。但是,它们有足够大的修改和编辑可以让安全软件不能发现它们。的确,现在就是这种情况。

这个新的驱动程序的源代码已经进行了修改和编辑,采用了与以前版本不同的选择方式。这个新的驱动程序还包含不同的子程序,用于加密设置块和装载这个恶意软件的主程序。

瑞伍称,我们在2011年10月曾经看到过这种技术。当时,在公开曝光之后,Duqu驱动程序重新进行了编辑并且与新的加密子程序捆绑在了一起。

瑞伍表示,这个Duqu变体很可能使用一个新的指挥与控制服务器,因为以前所有的已知的指挥与控制服务器都在2011年10月20日关闭了。然而,赛门铁克和卡巴斯基实验室都不知道这个新的服务器的地址,因为他们没有包含这个信息的组件。

瑞伍称,我们没有得到完整的Duqu主程序,仅仅得到了驱动程式的装载程序。这个装载程序不直接与指挥与控制服务器联系,它仅装载以加密方式存储的主程序。

瑞伍表示,即使这个新的服务器是已知的,它也不会允许任何人接近真正的攻击者。Duqu的作者有信心地认为这个恶意软件源头是不可能被发现的。

瑞伍称,目前还不清楚这个新版本的间谍软件是否对机构实施了攻击。但是,这些间谍软件可能与以前的变体是一样的。

责任编辑:于爽 来源: 网界网
相关推荐

2015-06-08 10:23:40

2009-08-10 16:01:06

2021-03-31 09:17:46

Android恶意软件攻击

2012-03-23 09:28:14

2021-02-16 10:02:36

恶意扩展安全插件网络攻击

2011-08-23 13:37:47

2009-11-04 08:57:54

2013-08-09 11:33:58

2023-06-29 12:52:31

2021-01-19 16:22:22

微软Defender病毒

2019-05-22 08:11:51

Winnti恶意软件Linux

2023-07-07 15:44:12

漏洞网络安全

2021-07-20 06:46:14

USB摄像头Windows Hel生物识别

2021-04-30 11:29:35

Linux恶意软件敏感信息

2021-07-30 23:17:12

网络安全黑客伊朗

2021-07-30 15:32:41

网络攻击黑客网络安全

2014-12-25 09:51:32

2012-07-31 10:32:52

2013-01-07 11:19:30

2022-07-18 23:44:32

安全漏洞信息安全
点赞
收藏

51CTO技术栈公众号