ЛК: «Родственник» Stuxnet способен загружать дополнительные вирусные компоненты

Эксперт «Лаборатории Касперского» (ЛК) Александр Гостев поместил в блоге компании публикацию, в которой приводится подробная информация о недавно появившемся трояне, имеющим сильное сходство с Stuxnet. Напомним, что ряд европейских компаний, часть из которых занимается промышленным производством, обнаружили на своих системах вирусные программы, имеющие сходство с червем, поразившим предприятия Ирана.

По данным ЛК, обнаруженный троян имеет в своем составе три основных компонента. Среди них драйвер (осуществляющий внедрение файлов библиотек в системные процессы), библиотеки (содержащие дополнительный модуль и взаимодействующие с командным сервером) и файл конфигурации. Именно эти три компонента выдают в вирусе «родственность» с Stuxnet. При этом Гостев подчеркивает, что название Duqu к основному модулю не имеет абсолютно никакого отношения.

Слово Duqu относится ко второй программе, являющейся кейлоггером. Цель данной программы состоит в сборе дополнительной информации о зараженной системе. Троян был обнаружен на одной из систем, инфицированных основным модулем. Специалисты установили способность основного модуля загружать дополнительные компоненты, на основании чего было сделано предположение, что кейлоггер связан именно с ним. Собранные данные троян-шпион помещает в файлы с названиями типа DQx.tmp. Именно эти названия дали имя основному модулю – «Duqu».

Исследование показало, что код трояна-шпиона имеет сходство с основным модулем Duqu, однако, как основной модуль может работать без трояна, так и дополнительный троян может работать без основного модуля.

Еще при появлении Stuxnet в ЛК пришли к выводу, что данный червь состоит из «платформы-носителя» и отдельного модуля, отвечавшего за работу PLC. При этом структуру вируса сравнивают с ракетой, состоящей из разгонного модуля (тела червя) и боеголовки (PLC). Также было выражено предположение о том, что Stuxnet мог быть создан двумя отдельными группами разработчиков, не подозревавших о существовании друг друга, и о цели проекта.

Основным неразрешенным вопросом, над которым сейчас работают сотрудники многих компаний-производителей антивирусов, является способ распространения основного модуля Duqu. До сих пор не было обнаружено файл-дроппер, через который вирус попадает на систему.

Подробно ознакомиться с публикацией экспертов "Лаборатории Касперского" можно здесь.