среда, 21 марта 2012 г.

Обнаружен новый драйвер для Duqu

Обнаружен новый драйвер (mcd9x86.sys) для Duqu, у которого дата компиляции соответствует концу февраля текущего года. До этого момента наборы компонентов Duqu, которые были у нас в распоряжении, датировались: 2010-11-03/2010-11-03/2011-10-17.


Собственно о чем это может говорить, фактов пока его использования у нас нет, да и подделать дату компиляции не так сложно. Но помимо этого есть еще небольшие интересные находки.

Восстановить оригинальное имя драйвера mcd9x86.sys удалось по информации из структуры VERSIONINFO, которая была заполнена соответствующими данными.


В задачи этого драйвера входит расшифрование других компонентов Duqu в процессе заражения компьютера. Он не содержит цифровых подписей, так как должен быть выполнен после атаки эксплойтом MS11-087.

Помимо этого коснулись небольшие изменения в алгоритме шифрования и поменялся ключ:


Криптоалгоритм так же остался самодельным и построен на похожих примитивах, что мы уже видели до этого.