Bize habercilerden veya telefonla ulaşın.

whatsapp telegram viber phone email
+79214188555

Trojan Duqu: work scheme

Детективное агентство ИКС-Инфо.

Зарегистрированный
Katılım
11 Kas 2010
Mesajlar
204
Tepkime puanı
8
Puanları
38
Yaş
65
Konum
Украина, Кривой Рог. +380 98 720 3431; +380 93 743
Web sitesi
www.iks-info.narod2.ru
Kaspersky Lab experts investigated incidents related to the spread of the Duqu Trojan and received a number of new details about the malicious program itself and about the methods and methods used by its authors to infect users.


“Comparing the data we found with the data obtained by other researchers and anti-virus companies, we found coinciding common features that reveal an approximate chronology of events and the general scheme used by the creators of Duqu,” said Alexander Gostev, Kaspersky Lab’s chief antivirus expert.

In the course of the investigation, it was possible to find out that the spread of the malware occurred through e-mail. A letter addressed to a specific recipient was accompanied by a doc file containing an exploit of the vulnerability and an installer of the Trojan. The first such mailing was carried out in April 2011.

The driver loaded by the exploit into the kernel of the system has a compilation date of August 31, 2007. This suggests that Duqu authors could work on this project for more than four years. It is worth noting that each Duqu attack was unique: the Trojan had a clearly defined victim, a unique set of files, and its activities were monitored every time from different management servers.

After the system was infected and the connection with the server was established, an additional module was downloaded and installed to collect information about the system, take screenshots, search for files, intercept passwords and a number of other functions.

To date, Kaspersky Lab experts have identified at least 12 unique Duqu file sets that are still being explored.

https://expert.com.ua/68283-troyanec-duq ... aboty.html
 
Original message
Эксперты «Лаборатории Касперского» провели расследование инцидентов, связанных с распространением троянца Duqu, и получили ряд новых подробностей как о самой вредоносной программе, так и о методах и способах, используемых ее авторами для заражения пользователей.


«Сопоставляя обнаруженные нами данные с данными, полученными другими исследователями и антивирусными компаниями, мы выявили совпадающие общие черты, которые раскрывают приблизительную хронологию событий и общую схему, по которой действовали создатели Duqu», – говорит Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского».

В ходе проведенного расследования удалось выяснить, что распространение вредоносной программы происходило через электронную почту. К письму, адресованному конкретному получателю, прилагался doc-файл, содержащий эксплойт уязвимости и инсталлятор троянца. Первая подобная рассылка была проведена еще в апреле 2011 года.

Драйвер, загружаемый эксплойтом в ядро системы, имеет дату компиляции 31 августа 2007. Это говорит о том, что авторы Duqu могли работать над этим проектом более четырех лет. Стоит отметить, что каждая атака Duqu была уникальной: троянец имел четко определенную жертву, уникальный набор файлов, а контроль за его деятельностью каждый раз осуществлялся с разных серверов управления.

После заражения системы и установления связи с сервером происходила загрузка и установка дополнительного модуля, предназначенного для сбора информации о системе, снятия скриншотов, поиска файлов, перехвата паролей и рядом других функций.

На сегодняшний день эксперты «Лаборатории Касперского» выявили как минимум 12 уникальных наборов файлов Duqu, исследование которых до сих пор продолжается.

https://expert.com.ua/68283-troyanec-duq ... aboty.html
Katılım
4 Ara 2010
Mesajlar
471
Tepkime puanı
10
Puanları
18
Yaş
59
Konum
Литва, Вильнюс +370 61354565
Thanks, I'll keep it in mind
 
Original message
спасибо буду иметь ввиду

НСК-СБ

Yönetici
Private access level
Full members of NP "MOD"
Katılım
14 Tem 2011
Mesajlar
3,170
Tepkime puanı
2,160
Puanları
613
Konum
Новосибирск
Частный детектив CБ' Alıntı:
Do not open incomprehensible letters.
-------------------------------------------------- --------
I agree! Thank you Roman!
 
Original message
Частный детектив CБ' Alıntı:
Не стоит открывать непонятные письма.
----------------------------------------------------------
Согласен! Спасибо, Роман!

Игорь Эдуардович

Private access level
Katılım
16 Şub 2011
Mesajlar
1,343
Tepkime puanı
55
Puanları
48
Konum
рига ,латвия моб.тел. +371 29505567е-маил. igorjre
Read !!! Thanks Roman.
 
Original message
Прочитал!!!Спасибо Роман.