近日,安全研究人员发现了Duqu网络间谍软件的一个新变体。这个新的间谍软件可以避开杀毒软件产品和其它安全工具的检测。
赛门铁克的研究人员本周一通过Twitter表示,他们发现了一个新的Duqu驱动程序。这是负责安装这个恶意软件加密的主程序的组件。赛门铁克首席安全响应经理维克拉姆·萨库尔(Vikram Thakur)表示,这个驱动程序的名称是“mcd9x86.sys”,是在今年2月23日编辑完成的。
Duqu网络间谍软件最初是在2011年10月被发现的。这个间谍软件与Stuxnet工业间谍蠕虫有关,并且有部分代码相同。然而,与专门进行破坏活动的Stuxnet不同,Duqu的主要目标是从全球机构中窃取敏感信息。
萨库尔称,这个新的驱动程序的发现明确表明,Duqu作者正在继续执行其任务。没有大量的公众熟悉Duqu阻止了他们利用这个恶意软件实现其目标。
卡巴斯基实验室全球研究与分析团队的考斯丁·瑞伍(Costin Raiu)认为,当你向Duqu和Stuxnet投入许多资金以创建一个灵活的框架的时候,你就不可能甩掉它并且从头开始。我们一直说Duqu和Stuxnet未来的变体很可能基于同一个平台。但是,它们有足够大的修改和编辑可以让安全软件不能发现它们。的确,现在就是这种情况。
这个新的驱动程序的源代码已经进行了修改和编辑,采用了与以前版本不同的选择方式。这个新的驱动程序还包含不同的子程序,用于加密设置块和装载这个恶意软件的主程序。
瑞伍称,我们在2011年10月曾经看到过这种技术。当时,在公开曝光之后,Duqu驱动程序重新进行了编辑并且与新的加密子程序捆绑在了一起。
瑞伍表示,这个Duqu变体很可能使用一个新的指挥与控制服务器,因为以前所有的已知的指挥与控制服务器都在2011年10月20日关闭了。然而,赛门铁克和卡巴斯基实验室都不知道这个新的服务器的地址,因为他们没有包含这个信息的组件。
瑞伍称,我们没有得到完整的Duqu主程序,仅仅得到了驱动程式的装载程序。这个装载程序不直接与指挥与控制服务器联系,它仅装载以加密方式存储的主程序。
瑞伍表示,即使这个新的服务器是已知的,它也不会允许任何人接近真正的攻击者。Duqu的作者有信心地认为这个恶意软件源头是不可能被发现的。
瑞伍称,目前还不清楚这个新版本的间谍软件是否对机构实施了攻击。但是,这些间谍软件可能与以前的变体是一样的。
