Очередь мероприятий и модель работы Duqu
Специалисты «Лаборатории Касперского» продолжают следствие конфликтов, сопряженных с распространением троянца Duqu, и приобрели ряд свежих деталей как о самой вредной платформе, так и про методы и методах, применяемых ее создателями для инфицирования клиентов.
В процессе произведенного следствия удалось узнать, что распределение вредной платформы происходило через электронную почту. К посланию, адресованному точному получателю, прилагался doc-файл, имеющий эксплойт уязвимости и инсталлятор троянца. Первая аналогичная рассылка была осуществлена еще в начале апреля 2011 года.
Драйвер, загружаемый эксплойтом в ядро системы, имеет дату компиляции 31 сентября 2007. Это говорит о том, что творцы Duqu могли работать над этим планом не менее 4-х лет. Необходимо отметить, что любая атака Duqu была эксклюзивной: троянец имел хорошо установленную жертву, эксклюзивный комплект документов, а контроль за его работой всякий раз проводился с различных компьютеров администрирования.
После инфицирования системы и постановления связи с компьютером происходила закачка и установка специального модуля, созданного для сбора информации о системе, снятия снимков экрана, поиска документов, перехвата паролей и рядом прочих функций. На данный момент специалисты «Корпорации Касперского» обнаружили по меньшей мере 12 эксклюзивных комплектов документов Duqu, изучение которых до сегодняшнего дня продолжается.
Ресурс: Корпорации Касперского