FSecure的系统最初将Duqu检测为Stuxnet变体

新发现的Duqu蠕虫包含Stuxnet代码的一部分，这一事实使许多安全研究人员将其称为Stuxnet2.0，并推测同一小组负责这两种恶意软件。根据最近的分析，一些研究人员现在认为这种关系有点远。尽管Duqu与Stuxnet有着“惊人的相似”，但BitDefender研究人员BogdanBotezatu于10月19日在MalwareCity博客上写道，尽管存在一些差异，导致开发人员有所不同。他说，代码被重用的事实实际上是一个强大的指标，表明它是另一个团队。

Botezatu写道，恶意软件开发人员的一般方法是“点击一次，然后处置代码”。

在恶意软件开发人员中，代码“重用”是一种不良习惯，因为大多数主要的防病毒供应商已经为该代码示例开发了启发式方法和其他检测功能。当恶意软件是诸如Stuxnet之类的“重量级”软件时，安全厂商更有可能能够检测到新样本。

根据F-Secure首席研究官MikkoHypponen的说法，这就是实际发生的情况。他说，F-Secure的系统最初将Duqu检测为Stuxnet变体。

至于代码的相似性，虽然确实没有提供Stuxnet的实际源代码，但今年早些时候rootkit的二进制文件已经过反向工程并在网上发布。据BitDefender称，这意味着只要稍作调整，任何人都可以将代码用作具有类似Stuxnet功能的新恶意软件的基础。

据卡巴斯基实验室称，Duqu实际上是至少两个恶意程序的组合。卡巴斯基实验室首席恶意软件专家AlexGostev写道，主要模块将DLL文件注入受感染的系统，可与远程命令和控制服务器一起工作，并包含配置文件。该模块的结构和行为类似于Stuxnet。该Securelist博客。第二个程序“基本上是键盘记录程序”是区别最新病毒和Stuxnet的程序。

Gostev说，Duqu的作者实际上在开发过程中“非常谨慎”，并且“他们能够更改代码并绕过所有流行的防病毒程序进行检测，”他指出，大多数主要的防病毒公司实际上直到10月17日之后才检测到Duqu。，当Symantec公布其调查结果时。

虽然主模块可能在破坏系统后下载了Duqu程序，但Duqu在功能上是一个独立的应用程序，可以在没有主模块的情况下工作。同样，Stuxnet模块不需要Duqu组件即可运行。

格斯托夫说：“键盘记录器和Stuxnet之间的联系不是很明显，这就是为什么它可能—甚至可以称呼它为Stuxnet的孙代，但肯定不是它的子代。”

Stuxnet也有两个部分，蠕虫专注于感染和复制，而“弹头”则针对工业控制系统。卡巴斯基此前曾暗示过Stuxnet是由两个不同的小组开发的，这两个小组可能不了解彼此的存在或恶意软件的最终目的。

Gostev说，Duqu发生了类似的事情，只是没有“弹头”，因为蠕虫除了收集信息之外没有任何活动能力。

BitDefender指出，Duqu的目的不同于Stuxnet。当Stuxnet用于破坏时，Duqu旨在从受感染的系统中收集信息。根据BitDefender的说法，尽管Duqu收集了这类信息，但它“不应被视为复杂的键盘记录程序”。

BitDefender并没有轻视威胁的严重性，指出用户仍然需要保持警惕。

普华永道能源，公用事业和发电集团的首席顾问布拉德·鲍赫(BradBauch)对eWEEK表示：“Duqu的发现突显了电力和公用事业公司识别，分类和保护其专有信息的必要性。”他说，尽管Duqu并非旨在破坏像Stuxnet这样的实际工业控制系统，但是公用事业公司必须实施“有效的信息保护策略”以防止数据被盗。

目前，尚不知道什么样的组织受到了Duqu的破坏。赛门铁克没有在其分析中披露该信息，而迈克菲研究人员表示，全球的证书颁发机构已成为攻击目标。卡巴斯基的戈斯托夫说，一些被感染的公司在匈牙利。

标签：

免责声明：免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！