image

Sterfdag Stuxnet ook in Duqu-virus aangetroffen

dinsdag 26 juni 2012, 01:07 door Redactie, 12 reacties

24 juni 2012 staat officieel bekend als de 'sterfdag' van de zeer geavanceerde Stuxnetworm, maar de dag speelt ook een rol in het Duqu spionagevirus. De datum in Stuxnet, de worm die ontwikkeld werd om de Iraanse uraniumverrijkingscentrale in Natanz te saboteren, zorgt ervoor dat de malware zich niet meer via het Windows LNK-lek verspreidt.

Analisten van Kaspersky Lab vonden in het Duqu-virus, dat ook door de makers van Stuxnet zou zijn gemaakt, of een groep die hier nauw bij betrokken was, de waarde 0xAE240682. Deze waarde is in vieren te delen. Daarbij merkt analist Costin Raiu op dat 0xAE een "magische constante" is die zowel in Stuxnet als Duqu veelvuldig voorkomt, maar waarvan de betekenis onbekend is.

Datum
Het restant kan als 24.06.82 worden gelezen. 30 jaar voor de "overlijdensdatum" van Stuxnet en een datum die mogelijk naar het incident met British Airways Flight 9 kan wijzen.

De verschillende data in zowel Duqu als Stuxnet wijzen er volgens Raiu op dat de aanvallers van plan waren om de malware lang van tevoren te vervangen. "Met de ontdekking van Flame in mei 2012 kunnen we verwachten dat er nog meer cyberwapens in ontwikkeling of al uitgerold zijn", besluit de analist.

Reacties (12)
26-06-2012, 07:36 door Anoniem
Ok... Dus 24 juni 2012 komt voor in Stuxnet en 0xAE240682 komt voor in Duqu, en dat is dezelfde datum (die 30 jaar negeren we even)... En dat verwijst misschien naar BA Flight 9 die door een aswolk vloog... Hoeveel drugs heeft de Costin Raiu gebruikt voor hij deze link zag?
26-06-2012, 09:47 door User2048
Het menselijk brein is er nou eenmaal in gespecialiseerd om overal patronen in te herkennen...
26-06-2012, 10:18 door Anoniem
Door Anoniem: Ok... Dus 24 juni 2012 komt voor in Stuxnet en 0xAE240682 komt voor in Duqu, en dat is dezelfde datum (die 30 jaar negeren we even)... En dat verwijst misschien naar BA Flight 9 die door een aswolk vloog... Hoeveel drugs heeft de Costin Raiu gebruikt voor hij deze link zag?

Typisch geval van iemand die nooit iets anders zal zien dan dat gene wat hem verteld wordt te zien....
Daarbij gekscherend te verwijzen naar anderen die niet behept zijn daarmee

Vertel ons wat is de meerwaarde van uw opmerking???
26-06-2012, 11:25 door Anoniem
24.06.82 is de geboortedatum van de ontwikkelaar, dus al deze mensen oppakken en een enkeltje naar Iran?
En waarom interpreteren we een hexadecimaal getal als decimaal?
Zo kunnen we nog wel even bezig blijven, komt 24.06.82 niet voor op de Maya kalender? (die ook ergens in 2012 stop....of toch niet?)
26-06-2012, 11:51 door Overcome
http://en.wikipedia.org/wiki/Apophenia:

The human tendency to seek patterns in random nature in general, as with gambling, paranormal phenomena and religion (and source code :)).
26-06-2012, 12:01 door Anoniem
Tja en als het getal interpreteerd als seconden sinds epoch dan leeft Duqu voorlopig nog wel eventjes (maandag 31 juli 2062 18:35:46 UTC (GMT)).

Het artikel berust dus niet echt op daadwerkelijk onderzoek, maar op een interpretatie van een getal die gevonden is en nog wat koffiedik kijken erbij?!
26-06-2012, 13:11 door Anoniem
Het heeft zo te zien helemaal niets te maken met een sterfdatum getuige het volgende http://stratsec.blogspot.nl/2012/03/actually-my-name-is-duqu-stuxnet-is-my.html

If its value is 0x03, the DLL is encrypted with the same encryption algorithm as the parameters themselves, only the initial seed value for the key is different - it is specified as 0xAE240682 at the offset 16.
26-06-2012, 13:58 door Anoniem
De op het plaatje getoonde hexadecimale getallen 82 06 24 AE hebben geen enkele betekenis als datum, tenzij 130 6 36 (al dan niet met 174) tegenwoordig een datum is. En offsets ten opzichte van epoch zijn signed, dus dan is 0xAE240682 een datum in het verleden.
Deze zogenaamde analyst is goed dronken geweest.
26-06-2012, 14:55 door Security Scene Team
Door Anoniem: Tja en als het getal interpreteerd als seconden sinds epoch dan leeft Duqu voorlopig nog wel eventjes (maandag 31 juli 2062 18:35:46 UTC (GMT)).

Het artikel berust dus niet echt op daadwerkelijk onderzoek, maar op een interpretatie van een getal die gevonden is en nog wat koffiedik kijken erbij?!

juist ja vooral het koffiedik kijken inderdaad.
26-06-2012, 16:28 door [Account Verwijderd]
[Verwijderd]
27-06-2012, 00:49 door Anoniem
In Lost zat ook zo'n getal wat telkens terugkwam.
27-06-2012, 07:51 door Anoniem
Door Anoniem:
Door Anoniem: Ok... Dus 24 juni 2012 komt voor in Stuxnet en 0xAE240682 komt voor in Duqu, en dat is dezelfde datum (die 30 jaar negeren we even)... En dat verwijst misschien naar BA Flight 9 die door een aswolk vloog... Hoeveel drugs heeft de Costin Raiu gebruikt voor hij deze link zag?

Typisch geval van iemand die nooit iets anders zal zien dan dat gene wat hem verteld wordt te zien....
Daarbij gekscherend te verwijzen naar anderen die niet behept zijn daarmee

Vertel ons wat is de meerwaarde van uw opmerking???

En van de uwe?


P.S. excuses voor deze zinloze toevoeging
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.