• В Беларуси
  • Наука
  • Интернет и связь
  • Гаджеты
  • Игры
  • Оружие
  • Архив новостей
    ПНВТСРЧТПТСБВС
  1. Минздрав рассказал, сколько пациентов инфицировано COVID-19 за последние сутки и сколько умерло
  2. Что происходит в Беларуси 28 февраля. Онлайн дня
  3. Экс-директору отделения Белгазпромбанка в Могилеве Сергею Кармызову вынесли приговор
  4. Могилев лишился двух уникальных имиджевых объектов — башенных часов и горниста (и все из-за политики). Что дальше?
  5. По Мстиславлю уже 5 месяцев гуляет стадо оленей. Жители говорят, что олениха с детенышем ранена
  6. «Теряю 2500 рублей». Работники требуют, чтобы «плюшки» были не только членам провластного профсоюза
  7. 57-летняя белоруска выиграла международный конкурс красоты. Помогли уверенность и советы Хижинковой
  8. «Бэушка» из США против «бэушки» из Европы: разобрали, какой вариант выгоднее, на конкретных примерах
  9. «Врачи нас готовили к смерти Саши». История Марии, у чьей дочери пищевод не соединялся с желудком
  10. Судьба ставки рефинансирования, обновленный КоАП, дедлайн по налогам, заморозка цен. Изменения марта
  11. Один из почетных консулов Беларуси в Италии подал в отставку из-за несогласия с происходящим после выборов
  12. Минское «Динамо» проиграло в гостях питерскому СКА
  13. Под угрозой даже универсам «Центральный». Что происходит в магазинах «Домашний» из-за проблем сети
  14. «Усе зразумелi: вірус існуе, ад яго можна памерці». Год, как в Беларусь пришел COVID: поговорили со вдовой первой жертвы
  15. «Будет готов за три-четыре месяца». Частные дома с «завода» — сколько они стоят и как выглядят
  16. Показываем, как выглядит часть зданий БПЦ на улице Освобождения, ради которых снесли объекты ИКЦ
  17. Александр Лукашенко — больше не президент Национального олимпийского комитета
  18. «Фантастика какая-то». В Гродно начали судить водителя Тихановского, который молчал все следствие
  19. «Куплен новым в 1981 году в Германии». История 40-летнего Opel Rekord с пробегом 40 тысяч, который продается в Минске
  20. Байкеры пытались отбить товарища у неизвестных у ТЦ «Европа». Ими оказались силовики, парней отправили в колонию
  21. Год назад в Беларусь пришел коронавирус. Рассказываем про эти 12 месяцев в цифрах и фактах
  22. Рынок лекарств штормит. Посмотрели, как изменились цены на одни и те же препараты с конца 2020-го
  23. Год назад в Беларуси выявили первый случай COVID-19. Что сделано за год, а что — нет
  24. Во всех районах Беларуси упали зарплаты, в некоторых — больше чем на 300 рублей
  25. Защитник Бабарико и Колесниковой подал жалобу в суд на лишение его лицензии, но ему отказали
  26. В магазинах стало больше зарубежных продуктов. Чиновники придумали, как нанести удар по импорту
  27. Минчане пришли поставить подпись под обращением к депутату — и получили от 30 базовых до 15 суток
  28. Белоруска едет на престижнейший конкурс красоты. И покажет дорогое платье, аналогов которому нет
  29. Секс-символ биатлона развелась и снялась для Playboy (но уже закрутила роман с близким другом)
  30. «Ситуация, похоже, только ухудшилась». Представитель Верховного комиссара ООН — о правах человека в Беларуси


По словам антивирусных экспертов "Лаборатории Касперского", набирающий популярность вредоносный код Duqu является универсальным инструментом для проведения целевой атаки на ограниченное число объектов, причем в каждом случае он может быть модифицирован в зависимости от задачи.

На первом этапе исследования специалисты "Лаборатории Касперского" выявили несколько особенностей Duqu. Во-первых, в каждой модификации вредоносной программы использовался видоизмененный драйвер, необходимый для заражения системы. В одном из случаев он задействовал поддельную цифровую подпись, в других - не был подписан. Во-вторых, стала очевидной высокая вероятность наличия и других элементов Duqu, которые пока не найдены. Все это позволило сделать вывод о том, что возможности данной вредоносной программы могут быть изменены в зависимости от того, какая именно цель является объектом атаки.

Малое количество заражений (всего одно на момент публикации первой части исследования "Лаборатории Касперского") серьезно отличает Duqu от Stuxnet, с которым у нового зловреда есть явные сходства. За время, прошедшее с момента обнаружения вредоносной программы, с помощью облачной системы безопасности Kaspersky Security Network удалось выявить новые случаи заражения. Одно из них было зафиксировано у пользователя в Судане, еще три - в Иране.

В каждом из случаев использовалась уникальная модификация драйвера, необходимого для заражения системы. Более того, на компьютере пользователя из Ирана, были также зафиксированы две попытки сетевых атак через уязвимость, которая ранее использовалась и Stuxnet, и вредоносной программой Kido. Инциденты произошли 4 и 16 октября, и в обоих случаях атака проводилась с одного IP-адреса, формально принадлежащего американскому интернет-провайдеру. Если одиночную атаку можно было бы "списать" на обычную активность Kido, по-прежнему широко распространенного в Сети вируса, то факт ее повторения говорит о том, что речь идет именно о таргетированной атаке на объект в Иране. Возможно, в ходе атаки были задействованы и другие уязвимости в программном обеспечении.

"Несмотря на то что ряд пострадавших от Duqu систем находятся в Иране, пока нет доказательств их принадлежности к промышленным объектам, тем более ядерным, - комментирует Александр Гостев, главный антивирусный эксперт "Лаборатории Касперского". - Соответственно, нельзя утверждать, что цель новой вредоносной программы - та же, что и у Stuxnet. Тем не менее очевидно, что каждый случай заражения Duqu уникален. Собранная нами информация позволяет с уверенностью говорить о том, что Duqu используется для целевой атаки на заранее определенные объекты".

Сегодня же российское подразделение антивирусной компании Eset разработали метод определения точной даты проникновения вредоносных программ семейства Win32/Duqu в систему компьютера. "После появления у нас образцов Win32/Duqu, наше исследовательское подразделение сразу же сконцентрировалось на детальном анализе этой угрозы, - комментирует Александр Матросов, директор Центра вирусных исследований и аналитики Eset. - Дополнительным стимулом к повышенному интересу с нашей стороны к Duqu было очень большое сходство в технической реализации этой угрозы с червем Stuxnet, который мы детально изучали осенью прошлого года. Однако пока еще рано делать какие-то выводы о точных целях Duqu, и мы активно продолжаем наше исследование".

Российские специалисты также восстановили алгоритм шифрования конфигурационных файлов Duqu и его формат. При этом они разработали методику определения точной даты заражения системы данной троянской программой, что особенно важно при проведении криминалистической экспертизы при инцидентах, связанных с заражениями компьютеров на промышленных предприятиях. Кроме того, определение времени инфицирования системы также необходимо из-за особенностей распространения Duqu – срок его пребывания в системе компьютера ограничен.

"На исследуемых нами образцах нам удалось установить даты заражения: первый набор показал дату 11/08/2011 (07:50:01), а второй - 18/08/2011 (07:29:07), - продолжает Матросов. - Интересно, что время заражения системы Duqu практически идентично, но с разницей в одну неделю. При этом извлеченные образцы были из разных мест, что может говорить о том, что была проведена группа целенаправленных атак, однако пока их точная мотивация неизвестна".

На сегодняшний день наиболее вероятной версией появления Duqu является сбор информации и дальнейшее координирование действий вредоносной программы из командного центра. При этом Duqu может скачивать и устанавливать дополнительный функционал в виде модулей, которые уже выполняют основные цели атаки.
-50%
-20%
-40%
-20%
-7%
-10%
-10%
-50%
-20%
-20%
0072641