De Duqu 'supermalware' die onderzoekers onlangs ontdekten, en als de zoon van de beruchte Stuxnetworm werd bestempeld, lijkt vooral in Iran te hebben toegeslagen. De malware zou informatie stelen waarmee vervolgens Stuxnet-achtige aanvallen zijn uit te voeren. Volgens veel anti-virusbedrijven zijn Stuxnet en Duqu door dezelfde ontwikkelaars ontwikkeld. Veel details over de malware zijn nog onbekend. Zo verwijdert Duqu zichzelf na 30 of 36 dagen, maar hoe de malware systemen besmet, en of hier net als bij Stuxnet zero-day exploits worden gebruikt, is nog een raadsel.
Iran
Anti-virusbedrijf Kaspersky Lab analyseerde de malware en ontdekte een infectie in Sudan. De meeste besmettingen vonden echter in Iran plaats, net als met de Stuxnetworm. Uit analyse van de aangetroffen malware-exemplaren blijkt volgens analist Alexander Gostev dat voor elke Duqu-aanval unieke bestanden met verschillende namen en andere checksums werden gegenereerd.
"Duqu is een multifunctioneel framework dat met verschillende modules kan werken. Duqu is zeer aanpasbaar en universeel", concludeert Gostev. De makers wisten nog nieuwe modules op geïnfecteerde systemen te installeren net voordat het nieuws over Duqu werd gepubliceerd, zo blijkt uit recent ontdekte nieuwe Duqu drivers.
Deze posting is gelocked. Reageren is niet meer mogelijk.