Duqu Autoren streuen Humor in gefährlichem code

2013-12-30  |  Comebuy News

Für alle die weltweite Sorge Duqu, das am meisten diskutierte Stück Schadsoftware seit Stuxnet, zeigt die aktuelle Analyse der seinen Code seine Brenner einen Sinn für Humor haben.

Comebuy Verwandte Artikel: NSS Labs behauptet, sein neue Tool erkennen kann, ob alle Duqu DriversDuqu Vorfälle im Iran und SudanDuqu Trojaner einen Vorläufer der nächsten Stuxnet, Symantec WarnsSymantec, erkannt McAfee unterscheiden sich für Duqu ThreatHard Beurteilungder voll Duqu Bedrohung noch, Wissenschaftler sagen

Eingewickelt in der Code verwendet, um Computer zu infizieren ist ein "Easter Egg" oder eine versteckte Botschaft. Ostereier wurden lange in Computercode, oft nur von jenen stöbern Computer-Code eingefügt.

Duqu der Exploit, der Code verwendet eine Software-Sicherheitslücke nutzen enthalten die Zeile: "Copyright (c) 2003 Showtime Inc. Alle Rechte vorbehalten. DexterRegularDexter."

Der Verweis auf die Fernsehserie "Dexter" ist als Witz gemeint. Der Shellcode der Exploit ist in eine eingebettete Schriftart namens "DexterRegularDexter", die verarbeitet wird, von Windows-Win32k TrueType-Schriftart Analysemodul, schrieb Aleks Gostev, senior Analyst mit dem Global Research und Analyse-Team für Kaspersky Lab enthalten.

"Dies ist ein weiterer Streich von den Autoren Duqu gezogen", schrieb er.

Es ist kein Font namens Dexter, aber, und es ist nur ein Name der Datei, die Malwareautoren zugewiesen gesagt Costin Raiu, Leiter Kasperskys Global Research und Analyse-Team.

Kaspersky und vielen anderen Computer-Sicherheit-Unternehmen haben Duqu analysiert wurde, da es aufgetaucht. Duqu Aktien vermutet, dass einige Ähnlichkeiten mit Stuxnet, die Malware erstellt worden sein, mit der Absicht, Unterbrechung des iranischen Atomprogramms durch die Manipulation von Zentrifugen verwendet, Uran anzureichern. Aber Experten bleiben unsicher, wenn eine zwischen den Entwicklern der zwei Stücke von Malware Verbindung.

Gostev's neueste aufzuschreiben ist eine Analyse der eine Version von Duqu, die von der sudanesischen kam CERT (Computer Emergency Response Team), die eine Stichprobe von Duqu aus einer unbenannten Organisation hatte, die infiziert wurde.

Opfer sind infiziert, durch einen Exploit über manipulierte Microsoft Word-Dokument, liefert, wenn geöffnet, Duqu geliefert. Gostev's Beitrag enthält einen Screenshot der die einfachen e-Mail angeblich stammen aus einen marketing-Manager, "Mr. B. Jason," anfordern, dass der Empfänger ein Worddokument öffnen und beantworten Sie ein paar Fragen wie "Sie marine Versand angeben?"

Andere Hinweise im Code haben gezeigt, dass Duqu weniger als 4 Jahre alt sein könnte. Ein Fahrer von Duqus Exploit in der Windows-Kernel geladen hat ein Datum sagen, dass es am 31. August 2007, kompiliert wurde, schrieb Gostev. Aber, die möglicherweise nicht genau, seit Duqu hat verschiedene Komponenten, die zu unterschiedlichen Zeiten erstellt worden sein könnte.

Eine weitere Kuriosität entdeckt von Kaspersky ist wie oft September kam es am Mittwoch.

"Die Duqu-Bande hat eine Affinität für Mittwoch", sagte Raiu. "sie haben immer wieder versucht, die Informationen aus diesen Systemen am Mittwoch zu stehlen. Dies bedeutet wahrscheinlich eine starke Routine, fast militärische Art."

Die Angreifer nahmen auch viel Pflege, wenn sie getroffen, um zu vermeiden, entdeckt zu werden. Separate Kommando-und Kontroll-Servern verwendet für jeden eindeutigen Satz von Dateien. Auch eine einzigartige Word-Datei für jedes Opfer in Handarbeit und die schädlichen Dateien von anonymen E-mail-Konten, wahrscheinlich auf kompromittierten Computern gesendet schrieb Gostev. Sie verändert auch Shellcodes für verschiedene Angriffe.

Die Beweise deuten auf ein hohes Maß an Komplexität. "Der Exploit verwendet, um Opfer mit Duqu zu infizieren ist unglaublich gut geschrieben, wunderschön in gewisser Weise", sagte Raiu. "Die Duqu-Autoren sind erstklassige Exploit Schriftsteller."

« Back