image

Makers Duqu-virus nog steeds actief

dinsdag 20 maart 2012, 14:01 door Redactie, 2 reacties

De makers van het Duqu-virus zijn ondanks alle media-aandacht nog steeds actief met het infecteren van systemen via hun creatie. Duqu werd halverwege oktober voor het eerst ontdekt en zou gemaakt zijn door hetzelfde team dat ook achter de Stuxnetworm zat. De malware wordt omgeschreven als één van de meest geraffineerde Trojaanse paarden ooit gemaakt en zou ontwikkeld zijn om zeer gevoelige gegevens te stelen. De eerste ontdekte varianten zaten verstopt in een Word document dat een zero-day lek in de Windows-kernel misbruikte.

Onlangs werd bekend dat Duqu deels in een vreemde programmeertaal was ontwikkeld. Gisteren werd duidelijk dat de datadief in programmeertaal C is geschreven. Ondanks alle aandacht gaan de makers achter het supervirus onverstoord verder.

Symantec waarschuwde gisterenavond dat het een nieuwe Duqu-driver had ontdekt die in februari van dit jaar is gecompileerd. Het bestand heet mcd9x86.sys en toont volgens het anti-virusbedrijf dat de Stuxnet-aanvallers nog steeds actief zijn.

Driver
"Er zijn verschillende drivers en modules die verantwoordelijk zijn voor het uitpakken van de Duqu onderdelen op de harde schijf. Er zijn in principe drie bestanden die worden aangemaakt. Er is een SYS driverbestand. Een klein PNF-bestand, wat een configuratiebestand is. En er is een groot PNF-bestand, dus de extensie .PNF", aldus Costin Raiu van Kaspersky Lab. Hij merkt op dat Stuxnet dezelfde extensies gebruikte om computers te infecteren en zichzelf te installeren.

Raiu stelt dat de nieuwe Duqu-variant ontwikkeld is om de detectiesoftware van het Hongaarse CrySysLab te omzeilen. De toolkit bevat op signatures en heuristiek gebaseerde methoden om het virus te vinden en kan ook sporen van infecties detecteren als componenten van de malware al van het systeem verwijderd zijn.

CrySysLab meldt via Twitter dat bedrijven die een relatie met Iran hebben, beter de Duqu detectietool kunnen draaien. Daarvan is nu een nieuwe versie verschenen. Het bericht verscheen twee uur na de tweet van Symantec. De versie werd echter ook al op 15 maart aangekondigd, wat zou betekenen dat die de nieuwste Duqu-variant niet kan herkennen.

Reacties (2)
20-03-2012, 14:46 door User2048
Ons webfilter denkt dat de Duqu-detector van CrySyS een virus bevat...
20-03-2012, 14:53 door Fwiffo
Als je een doelwit van het Duqu-virus bent, heb je grotere problemen als welke virusscanner je het beste kan gebruiken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.