Nove analize Duqu Trojanca dovode u pitanje dosadašnje pretpostavke

Vesti, 27.10.2011, 11:44 AM

Nove analize nedavno otkrivenog Trojanca Duqu dovode u pitanje dosadašnje pretpostavke o poreklu malware-a i ranije dovođenje u vezu sa ozloglašenim kompjuterskim crvom Stuxnet.

Prema analizi SecureWorks Counter Threat Unit kompanije Dell, iako Duqu i Stuxnet imaju neke zajedničke karakteristike, uključujući i metod koji koriste za unos malicioznih fajlova u zaražene sisteme, izgleda da im se ciljevi, odnosno zadaci koje treba da obave na zaraženim sistemima značajno razlikuju.

Analiza SecureWorks tima je u suprotnosti sa tvrdnjama koje su izneli stručnjaci drugih antivirusnih kompanija, posebno kompanije Symantec, koja je prva objavila analizu ovog malware-a. Prema toj analizi, Duqu je izgrađen na kodu Stuxnet-a koji je bio osnova za razvoj novog malware-a, a početna pretpostavka je bila da je novi Trojanac delo istih autora i da je razvijen sa istim ciljem - da nanese štetu industrijskim kontrolnim sistemima i infrastrukturi.

Analiza Kaspersky Laboratorije, koja se takođe bavila Duqu malware-om sugerisala je da postoje sličnosti u glavnom modulu Duqu Trojanca i Stuxnet-a, uključujući i sličan drajver koji ubacuje DLL u sistemske procese. Stručnjaci Kaspersky Lab-a su uočili još nešto što bi moglo biti obrazac - uprkos malom broju registrovanih infekcija Duqu-om u svetu, većina je otkrivena u Iranu, što je signifikantno za poređenje sa Stuxnet-om.

Kada je privukao pažnju, Duqu je postao predmet zanimanja i analiza i drugih stručnjaka koji su primetili da cilj Duqu malware-a uopšte nisu industrijski kontolni sistemi već da je reč o Trojancu čiji se zadatak ne razlikuje mnogo od onog koji imaju srodni maliciozni programi iz grupe Trojanaca - i Duqu, kao i drugi Trojanci, omogućava daljinsku kontrolu napadačima, nadgledanje zaraženog sistema i prikupljanje podataka.

Ipak, ciljevi Duqu Trojanca i dalje nisu najjasniji.

Analiza SecureWork tima ipak ne osporava dosadašnje ustanovljene sličnosti u načinu na koji funkcioniše novootkiveni malware - i Duqu kao i Stuxnet koristi kernel drajver za dekodiranje i učitavanje kodiranih DLL (Dynamic Load Library) fajlova, ubacujući maliciozni kod u određene procese Windows-a. Ta tehnika, međutim, nije specifična samo za Duqu i Stuxnet, već je viđena i ranije, kada se radilo o drugim malicioznim programima koji ne mogu da se dovedu u vezu sa njima.

Što se tiče dokaza sa kernel drajverom koji ima validan digitalni sertifikat, koji je naveo stručnjake da dovedu u vezu Stuxnet i Duqu, u SecureWorks kažu da to nije dovoljno jak argument za ovakvu pretpostavku.

Analiza SecureWorks tima je još jedan u nizu brojnih pokušaja da se otkrije poreklo i svrha Duqu malware-a. Poslednjih dana, iz Symantec-a koji je bio najuporniji zagovornik teze da su ciljevi Duqu malware-a industrijski kontrolni sistemi, dolaze nešto izmenjene pretpostavke da cilj Duqu-a nisu toliko industrijski kontrolni sistemi koliko industrijski proizvođači koji rade za potrebe industrije.