研究人員發(fā)現(xiàn)Duqu病毒新變體 可避開殺毒軟件

賽門鐵克的研究人員本周一通過Twitter表示，他們發(fā)現(xiàn)了一個新的Duqu驅(qū)動程序。這是負責安裝這個惡意軟件加密的主程序的組件。賽門鐵克首席安全響應經(jīng)理維克拉姆·薩庫爾(Vikram Thakur)表示，這個驅(qū)動程序的名稱是“mcd9x86.sys”，是在今年2月23日編輯完成的。

Duqu網(wǎng)絡間諜軟件最初是在2011年10月被發(fā)現(xiàn)的。這個間諜軟件與Stuxnet工業(yè)間諜蠕蟲有關，并且有部分代碼相同。然而，與專門進行破壞活動的Stuxnet不同，Duqu的主要目標是從全球機構中竊取敏感信息。

薩庫爾稱，這個新的驅(qū)動程序的發(fā)現(xiàn)明確表明，Duqu作者正在繼續(xù)執(zhí)行其任務。沒有大量的公眾熟悉Duqu阻止了他們利用這個惡意軟件實現(xiàn)其目標。

卡巴斯基實驗室全球研究與分析團隊的考斯丁·瑞伍(Costin Raiu)認為，當你向Duqu和Stuxnet投入許多資金以創(chuàng)建一個靈活的框架的時候，你就不可能甩掉它并且從頭開始。我們一直說Duqu和Stuxnet未來的變體很可能基于同一個平臺。但是，它們有足夠大的修改和編輯可以讓安全軟件不能發(fā)現(xiàn)它們。的確，現(xiàn)在就是這種情況。

這個新的驅(qū)動程序的源代碼已經(jīng)進行了修改和編輯，采用了與以前版本不同的選擇方式。這個新的驅(qū)動程序還包含不同的子程序，用于加密設置塊和裝載這個惡意軟件的主程序。

瑞伍稱，我們在2011年10月曾經(jīng)看到過這種技術。當時，在公開曝光之后，Duqu驅(qū)動程序重新進行了編輯并且與新的加密子程序捆綁在了一起。

瑞伍表示，這個Duqu變體很可能使用一個新的指揮與控制服務器，因為以前所有的已知的指揮與控制服務器都在2011年10月20日關閉了。然而，賽門鐵克和卡巴斯基實驗室都不知道這個新的服務器的地址，因為他們沒有包含這個信息的組件。

瑞伍稱，我們沒有得到完整的Duqu主程序，僅僅得到了驅(qū)動程式的裝載程序。這個裝載程序不直接與指揮與控制服務器聯(lián)系，它僅裝載以加密方式存儲的主程序。

瑞伍表示，即使這個新的服務器是已知的，它也不會允許任何人接近真正的攻擊者。Duqu的作者有信心地認為這個惡意軟件源頭是不可能被發(fā)現(xiàn)的。

瑞伍稱，目前還不清楚這個新版本的間諜軟件是否對機構實施了攻擊。但是，這些間諜軟件可能與以前的變體是一樣的。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]