卡巴斯基实验室的研究人员最近发表报告称,Stuxnet病毒和Duqu恶意软件的作者是同一人,并警告称至少有三个先进的恶意软件正在全球潜行。
之前,不少安全专家们一直在争论这两个病毒的代码出自同一黑手,但一直缺乏证据。
而卡巴斯基实验室在审查了Stuxnet和Duqu使用的驱动程序后得出结论,这两个高级蠕虫采用相同的感染方式,并且恶意代码也出现交叉的状况,不少习惯性的代码符号也是一致的,因此很可能是单一创造者。
Duqu蠕虫: Stuxnet的异父兄弟?
近日,互联网上有多种版本的Duqu恶意程序大肆传播,成为IT安全行业的一大新闻。该恶意程序之所以如此受到关注,是因为它是一种新型的蠕虫,同去年著名的Stuxnet蠕虫有相似之处。更让人不安的是,目前,我们还不清楚该蠕虫的目的是什么。卡巴斯基实验室的反恶意软件专家针对该恶意软件进行了一系列分析,分析结果如下。
Duqu蠕虫最早于2011年9月初被检测到。当时,一名匈牙利计算机用户将该恶意软件的一个模块上传到Virustotal网站。该网站能够利用多个反病毒引擎对感染文件进行分析(其中包括卡巴斯基实验室的反病毒引擎)。但是,首个发现的样本表明,该蠕虫是由多个模块组成的,而这个样本只是其中的一个。之后不久,卡巴斯基实验室的反恶意软件专家又通过Virustotal获得了该蠕虫的另外一个模块样本。正是由于此次分析,才发现此蠕虫同Stuxnet的相似之处。
虽然Duqu和Stuxnet两种蠕虫之间有不少相似之处,但还是有明显区别的。发现几种Duqu变种后,卡巴斯基实验室安全专家开始在基于云的卡巴斯基安全网络用户中实时追踪该蠕虫的感染情况。令人惊奇的是,在最早的24小时内,仅有一台计算机被该蠕虫所感染。而Stuxnet在当时则感染了全球数万台计算机系统。虽然大家都认为其最终的攻击目标是伊朗核项目的工业控制系统。目前,Duqu蠕虫的攻击目标还不确定。
卡巴斯基安全网络用户中唯一受感染的一例中,感染程序包含组成Duqu蠕虫的多个模块中的一个。第二个感染模块其实是其他恶意程序,即某种间谍木马,目前还未被发现。而恰恰是Duqu的这一模块具备恶意功能。这一模块能够收集受感染计算机的信息,并且记录用户的键盘输入数据。
卡巴斯基实验室的首席安全专家Alexander Gostev说:“目前,我们还未发现安装卡巴斯基实验室安全产品的用户被Duqu的间谍木马模块所感染的案例。这表明Duqu的攻击范围可能是少数特定目标,而其不同的模块可能针对不同的攻击目标。”
另外,关于Duqu还有一个未解之谜,即其最初入侵系统时的安装程序或“下载器”模块还未被发现。目前,针对这一模块的搜寻仍然在继续。而且这一模块将帮助我们最终确定Duqu蠕虫的攻击目标到底是什么。
目前,所有已发现的Duqu蠕虫变种均是通过卡巴斯基实验室反病毒产品检测到的。更多关于该恶意软件的详情,请访问Securelist,浏览Alexander Gostev 和 Ryan Naraine所撰写的分析文章。
2011年10月25日