среда, 19 октября 2011 г.

Win32/Duqu: новый виток развития истории со Stuxnet

Буквально несколько часов назад компания Symantec обнародовала довольно интересный исследовательский отчет "Duqu: the precursor to the next Stuxnet". Собственно повествует он о вредоносной программе, которая своей реализацией сильно напоминает все известный Stuxnet. Причем настолько напоминает, что местами, кажется, что этот код писала одна и таже группа разработчиков. Сценарий работы очень схож со Stuxnet, но кода много и поэтому на 100% процентов для себя еще не подтвердил идентичность авторов. Из интересного вот такая вот сравнительная таблица:

Что странно пока не было найдено никаких страшных 0-day эксплойтов в коде Win32/Duqu и пока не совсем понятны методы его распространения. А вот история с легальными цифровыми подписями на вредоносных модулях Duqu, повторяется:



Сегодня нас ожидает много шумихи и спекуляций поэтому поводу в СМИ, так что запасайтесь попкорном, ибо грядет сиквел. А вот затмит ли он первую часть покажет время ;)