- Inscrit
- 11 Nov. 2010
- messages
- 204
- Score de réaction
- 8
- Points
- 38
- Age
- 65
- Localisation
- Украина, Кривой Рог. +380 98 720 3431; +380 93 743
- Site web
- www.iks-info.narod2.ru
Les experts de Kaspersky Lab ont enquêté sur des incidents liés à la propagation du cheval de Troie Duqu et ont reçu un certain nombre de nouveaux détails sur le programme malveillant lui-même et sur les méthodes et méthodes utilisées par ses auteurs pour infecter les utilisateurs.
"En comparant les données que nous avons trouvées avec les données obtenues par d'autres chercheurs et sociétés antivirus, nous avons trouvé des caractéristiques communes coïncidentes qui révèlent une chronologie approximative des événements et le schéma général utilisé par les créateurs de Duqu", a déclaré Alexander Gostev, expert antivirus en chef de Kaspersky Lab.
Au cours de l'enquête, il a été possible de découvrir que la propagation du malware s'est produite par courrier électronique. Une lettre adressée à un destinataire spécifique était accompagnée d'un fichier doc contenant un exploit de la vulnérabilité et un installateur du cheval de Troie. Le premier envoi de ce type a été effectué en avril 2011.
Le pilote chargé par l'exploit dans le noyau du système a une date de compilation du 31 août 2007. Cela suggère que les auteurs de Duqu pourraient travailler sur ce projet pendant plus de quatre ans. Il convient de noter que chaque attaque Duqu était unique: le cheval de Troie avait une victime clairement définie, un ensemble de fichiers unique et ses activités étaient surveillées à chaque fois depuis différents serveurs de gestion.
Une fois le système infecté et la connexion avec le serveur établie, un module supplémentaire a été téléchargé et installé pour collecter des informations sur le système, prendre des captures d'écran, rechercher des fichiers, intercepter des mots de passe et un certain nombre d'autres fonctions.
À ce jour, les experts de Kaspersky Lab ont identifié au moins 12 ensembles de fichiers Duqu uniques qui sont toujours à l'étude.
https://expert.com.ua/68283-troyanec-duq ... aboty.html
"En comparant les données que nous avons trouvées avec les données obtenues par d'autres chercheurs et sociétés antivirus, nous avons trouvé des caractéristiques communes coïncidentes qui révèlent une chronologie approximative des événements et le schéma général utilisé par les créateurs de Duqu", a déclaré Alexander Gostev, expert antivirus en chef de Kaspersky Lab.
Au cours de l'enquête, il a été possible de découvrir que la propagation du malware s'est produite par courrier électronique. Une lettre adressée à un destinataire spécifique était accompagnée d'un fichier doc contenant un exploit de la vulnérabilité et un installateur du cheval de Troie. Le premier envoi de ce type a été effectué en avril 2011.
Le pilote chargé par l'exploit dans le noyau du système a une date de compilation du 31 août 2007. Cela suggère que les auteurs de Duqu pourraient travailler sur ce projet pendant plus de quatre ans. Il convient de noter que chaque attaque Duqu était unique: le cheval de Troie avait une victime clairement définie, un ensemble de fichiers unique et ses activités étaient surveillées à chaque fois depuis différents serveurs de gestion.
Une fois le système infecté et la connexion avec le serveur établie, un module supplémentaire a été téléchargé et installé pour collecter des informations sur le système, prendre des captures d'écran, rechercher des fichiers, intercepter des mots de passe et un certain nombre d'autres fonctions.
À ce jour, les experts de Kaspersky Lab ont identifié au moins 12 ensembles de fichiers Duqu uniques qui sont toujours à l'étude.
https://expert.com.ua/68283-troyanec-duq ... aboty.html
Original message
Эксперты «Лаборатории Касперского» провели расследование инцидентов, связанных с распространением троянца Duqu, и получили ряд новых подробностей как о самой вредоносной программе, так и о методах и способах, используемых ее авторами для заражения пользователей.
«Сопоставляя обнаруженные нами данные с данными, полученными другими исследователями и антивирусными компаниями, мы выявили совпадающие общие черты, которые раскрывают приблизительную хронологию событий и общую схему, по которой действовали создатели Duqu», – говорит Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского».
В ходе проведенного расследования удалось выяснить, что распространение вредоносной программы происходило через электронную почту. К письму, адресованному конкретному получателю, прилагался doc-файл, содержащий эксплойт уязвимости и инсталлятор троянца. Первая подобная рассылка была проведена еще в апреле 2011 года.
Драйвер, загружаемый эксплойтом в ядро системы, имеет дату компиляции 31 августа 2007. Это говорит о том, что авторы Duqu могли работать над этим проектом более четырех лет. Стоит отметить, что каждая атака Duqu была уникальной: троянец имел четко определенную жертву, уникальный набор файлов, а контроль за его деятельностью каждый раз осуществлялся с разных серверов управления.
После заражения системы и установления связи с сервером происходила загрузка и установка дополнительного модуля, предназначенного для сбора информации о системе, снятия скриншотов, поиска файлов, перехвата паролей и рядом других функций.
На сегодняшний день эксперты «Лаборатории Касперского» выявили как минимум 12 уникальных наборов файлов Duqu, исследование которых до сих пор продолжается.
https://expert.com.ua/68283-troyanec-duq ... aboty.html
«Сопоставляя обнаруженные нами данные с данными, полученными другими исследователями и антивирусными компаниями, мы выявили совпадающие общие черты, которые раскрывают приблизительную хронологию событий и общую схему, по которой действовали создатели Duqu», – говорит Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского».
В ходе проведенного расследования удалось выяснить, что распространение вредоносной программы происходило через электронную почту. К письму, адресованному конкретному получателю, прилагался doc-файл, содержащий эксплойт уязвимости и инсталлятор троянца. Первая подобная рассылка была проведена еще в апреле 2011 года.
Драйвер, загружаемый эксплойтом в ядро системы, имеет дату компиляции 31 августа 2007. Это говорит о том, что авторы Duqu могли работать над этим проектом более четырех лет. Стоит отметить, что каждая атака Duqu была уникальной: троянец имел четко определенную жертву, уникальный набор файлов, а контроль за его деятельностью каждый раз осуществлялся с разных серверов управления.
После заражения системы и установления связи с сервером происходила загрузка и установка дополнительного модуля, предназначенного для сбора информации о системе, снятия скриншотов, поиска файлов, перехвата паролей и рядом других функций.
На сегодняшний день эксперты «Лаборатории Касперского» выявили как минимум 12 уникальных наборов файлов Duqu, исследование которых до сих пор продолжается.
https://expert.com.ua/68283-troyanec-duq ... aboty.html
