Перейти к содержанию

Duqu и Stuxnet как часть большого плана

Decryptor

От Decryptor
в Жизнь «Лаборатории Касперского»

 Share

Рекомендуемые сообщения

Decryptor Постоялец

Decryptor

Опубликовано
Опубликовано

«Лаборатория Касперского» завершила очередной этап исследования вредоносных программ Duqu и Stuxnet. Детальный анализ полученной информации не только подтвердил предположения экспертов о наличии у них общего «автора», но и позволил говорить о существовании единой платформы, лежащей в их основе.

 

Платформа с условным именем «Tilded», которая, по мнению аналитиков «Лаборатории Касперского», использовалась для создания Stuxnet, Duqu, а также других вредоносных программ, могла быть разработана задолго до начала эпидемии Stuxnet. Такой вывод был сделан экспертами на основе детального анализа драйверов, предназначенных для заражения систем Duqu и Stuxnet, а также пока неизвестными вредоносными программами.

 

Общие корни вредоносных программам были выявлены в ходе анализа одного из инцидентов, связанных с Duqu. Во время исследования зараженной системы, атака на которую, предположительно, произошла в августе 2011 года, эксперты обнаружили драйвер, очень похожий на тот, который ранее был использован в одной из версий Stuxnet. Однако были и отличия — например, дата подписания цифрового сертификата. Других файлов, которые можно было бы отнести к Stuxnet, на атакованном компьютере обнаружено не было.

 

Обработка полученной информации и дальнейший поиск в базе вредоносных программ «Лаборатории Касперского» позволили выявить еще один драйвер с похожими характеристиками. Изначально он был обнаружен более года назад, а скомпилирован данный файл был и вовсе в январе 2008 года, за год до создания драйверов, используемых Stuxnet. Всего эксперты «Лаборатории Касперского» нашли 7 типов драйверов со схожими характеристиками. Примечательно, что для трех из них пока нет информации о том, для какой вредоносной программы они предназначались.

 

«Драйверы от пока неизвестной вредоносной программы нельзя отнести к активности Stuxnet и Duqu, — отмечает Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского». — Методы распространения Stuxnet привели бы к гораздо большему числу заражений, а к более таргетированному троянцу Duqu их не позволяет отнести дата компиляции. Мы считаем, что эти драйверы использовались либо в ранних версиях Duqu, либо для заражения совершенно другими вредоносными программами, которые при этом имеют общую платформу и, скорее всего, единую команду создателей».

 

По версии экспертов «Лаборатории Касперского», киберпреступники, стоящие за Duqu и Stuxnet, несколько раз в год создают новую версию драйвера, который осуществляет загрузку основного модуля вредоносной программы. При планировании новой атаки с помощью специальной программы изменяются некоторые параметры драйвера, такие как, например, ключ реестра. В зависимости от задачи такой файл также может быть подписан легальным цифровым сертификатом, либо оставлен без подписи.

 

Таким образом, Duqu и Stuxnet — это отдельные проекты, создававшиеся на основе единой платформы «Tilded», которая была разработана еще в конце 2007 — начале 2008 года. Скорее всего, они не были единственными, но цели и задачи других вариантов троянской программы пока не известны. Не исключено, что данная платформа продолжает развиваться. Причем тот факт, что троянец Duqu уже обнаружен антивирусными экспертами, потребует от злоумышленников внесения в нее очередных изменений.

 

Полная версия отчета Александра Гостева и Игоря Суменкова доступна на сайте www.securelist.com/ru.

 

Источник: http://www.kaspersky.ru/news?id=207733658

Ссылка на комментарий
Поделиться на другие сайты
  • 1 month later...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • VadimA
      DRP или план аварийного восстановления для KSC
      От VadimA
      Приветствую всех.
      Возникла необходимость создания плана аварийного восстановления на случай выхода из строя основного сервера KSC.
      Кто нибудь делал? Поделитесь соображения, а лучше сразу планом 😃
    • E.K.
      АБВ = Алтай Большая Вода. Сезон 2020. Очень Большая Вода.
      От E.K.
      Всем привет!

       

       
      Фото-видео материалов терабайта два, не меньше. Впечатлений и эмоций море-океаны. Продолжение следует.
    • InMix
      Проверка Dr.Web CureIt!. удалила часть вирусов но не все
      От InMix
      Здравствуйте, помогите пожалуйста, проверился CureIt, был (Автопилот, майнер какой то к сожалению не сохранил..
      CollectionLog-2024.05.09-00.00.zip
    • Auyr
      Синий экран с ошибкой DCP_WATCH, а также появление файла deafult.rpd, при сканировании обнаружен троян, постоянно возникают в большом количестве ссылки в истории браузера
      От Auyr
      Здраствуйте, хочу уточнить, что на данный момент актуальная проблема это обнаруженный троян утилитой "Kaspersky Virus Removal Tool"(прикрепляю все скрины) , а также я проверил с помощью avz 4 мне также выдали 2 файла с трояном, также меня очень волнует в истории браузера при заходе на свою страницу "Вконтакте" возникают в огромном количестве непонятные ссылки каждую минуту около 100 штук, при переходе на которые ведут на начальную страницу со входом в аккаунт "ВК"(прикрепляю ссылки) такое я замечал еще ранее, на протяжении года минимум, также 30.04.24 возник экран смерти с ошибкой DCP_WATCH_violation (я перезагрузил ПК, далее подозрительных действий не наблюдалось)
      Скажу что был случай заражения вирусом в 2021 году в то время я снес виндоувс, (отформатировал полностью системный диск С) однако я не стал форматировать второй диск D, и вот сегодня 11.05 решил также проверить диск D и обнаружил как раз остатки трояна, однако до сегодняшнего момента очень явных признаков я не наблюдал (на протяжении 3 лет) , только если сослаться на торможение слегка своего ПК
      Скажу что использую базовую версию антивируса платного Касперский.
      Насчет файла default.rpd я взял сохраненное сообщение на другом форуме где мне не помогли привожу его ниже:
      """""Началось 2 июня 2023 , когда сидел в discord я начал демонстрацию экрана и заметил roaming window (предложено было дискордом демонстрировать данное окно, которое было черное) далее я начал проверку avz и когда она подходила к концу, неожиданно в чате дискорда началось печатания каких то букв , в этот момент я ничего не писал( клавиатура чиста, это не техника) текст был такой примерно "еуеуеуеуеуеуеу" далее я заметил в скрытых значках сенсорную клавиатуру, её значок ( у меня windows 10) которую я не открывал и не мог ее закрыть долгое время(сенсорная клавиатура появилась задолго до этого момента , я просто не обращал внимания) , далее я решил просто удалить старый антивирус бесплатный dr web и установил пробную версию премиум касперского и после этого вроде других действий не замечал до момента когда в папку документов появился скрытый документ default.rpd с размером 0 кб и созданием в тот момент когда я возился с проверками (2 июня ночью)""""
      Также уточню что 10.05.24 (вчера) установил solidworks крякнутый в сайта diakov (я уже пользовался им, проверенный, устанавливал офисы2016 и adobe), там я вводил какие то изменения в реестр по инструкции, ссылался на локальный хост, отключал сеть, программа работает. 
      Внизу прикладываю также скрины найденных файлов вирусных разными сканерами - avz(отдельно сканировал им без аутологгера)--2 файла удаленных привожу полное наименование одного из (CWindowsservicingLCUPackage_for_RollupFix~31bf3856ad364e35~amd64~~19041.4291.1.10amd64_microsoft-windows-m..nt-browser.appxmain_31bf3856ad364e35_10.0.19041.3636_none_708b8c01b2212346fsquare44x44logo.targetsize-48_altform-unplated_contrast-white.png)
      Если возникнут вопросы отвечу на всё и попытаюсь быстро реагировать 





      CollectionLog-2024.05.11-12.53.zip
    • KL FC Bot
      Как и где отключить Google Ad Topics для большей приватности | Блог Касперского
      От KL FC Bot
      Уже через год Google планирует прекратить в своем браузере Chrome поддержку так называемых сторонних кукис — технологии, которую долгие десятилетия использовали интернет-рекламщики для отслеживания пользователей.
      Разумеется, это вовсе не означает, что такой слежки больше не будет: было бы странно, если бы крупнейшая технологическая компания, которая зарабатывает исключительно на онлайн-рекламе, добровольно отказалась от возможности собирать данные о пользователях. Сторонним кукис придет на смену новая технология — Google Ad Topics. По сути, она уже пришла: за это лето Google встроила Ad Topics в браузер Chrome, и недавно технологию начали раскатывать уже и в операционной системе Android.
      В этом посте разберемся с тем, как работает Ad Topics, где эту штуку можно отключить в настройках Chrome и Android и что еще стоит сделать, чтобы избежать слежки со стороны онлайн-рекламщиков.
      Немного истории: Google Privacy Sandbox и FLoC
      Начнем, впрочем, немного издалека — с Google Privacy Sandbox. Таким образом в Google назвали всю инициативу по отказу от сторонних кукис и замене их для выдачи таргетированной рекламы какими-то иными технологиями. Впервые об этой инициативе в Google заговорили еще в августе 2019 года — как видите, на разработку конкретных решений, с помощью которых можно было бы реализовать отказ от кукис, компании Google потребовалось целых четыре года.
      Суть этой инициативы состоит в том, чтобы, с одной стороны, отбросить технологию, которая всеми уже прочно воспринимается как нарушение приватности. А с другой стороны — продолжить каким-то образом показывать пользователям персонализированную рекламу, сохраняя то конкурентное преимущество, которое позволило Google стать интернет-гигантом.
      Если посмотреть статью в Википедии про Privacy Sandbox, то в глаза бросается длиннющий список технологий-кандидатов, с помощью которых Google планировала отказаться от сторонних кукис. Однако еще в 2021 году звание основного кандидата получила технология под названием Google FLoC. Поговорим о ней чуть подробнее.
       
      Посмотреть статью полностью
×
×
  • Создать...