"Duqu", o cavalo de Tróia de acesso remoto descoberto pela primeira vez em novembro de 2011, e que teria sido criado pelos mesmos autores do worm Stuxnet, ainda está sendo modificado por seus desenvolvedores e, obviamente, sendo utilizado em ataques. Uma variante recém-descoberto do arquivo Loader, utilizado para carregar o resto da carga de "Duqu", foi encaminhado para ser analisado por pesquisadores da Symantec, que descobriu que este componente foi compilado em 23 de fevereiro de 2012.
As principais alterações no carregador envolvem um novo algoritmo de criptografia, usado para encriptar os outros componentes, e a falta de uma assinatura com um certificado roubado. De acordo com Costin Raiu da Kaspersky Lab, as alterações que visam evitar a sua detecção pelo toolkit detector foi lançada pela CrySyS Lab, que é um laboratório sediado em Budapeste. O Laboratory of Cryptography and Systems Security foi quem avistou o malware pela primeira vez.
Visão dos Especialistas e Dimensão dos Alvos do Trojan
De acordo com os comentários dos pesquisadores da especialista em segurança Symantec, "embora não tenhamos todas as informações sobre esta infecção, o surgimento deste novo arquivo mostra claramente que os atacantes virtuais ainda estão ativos. Sem os outros componentes do ataque, é impossível dizer se todos os novos desenvolvimentos foram adicionados ao código, desde a última vez que foi visto um comunicado do grupo em novembro de 2011.
Muitos pesquisadores e especialistas, acreditam que o trojan "Duqu" foi criado pelos mesmos autores como o Stuxnet, ou por desenvolvedores que tiveram acesso a seu código fonte. E ao que tudo indica, parece ter sido desenvolvido na mesma plataforma.
As principais alterações no carregador envolvem um novo algoritmo de criptografia, usado para encriptar os outros componentes, e a falta de uma assinatura com um certificado roubado. De acordo com Costin Raiu da Kaspersky Lab, as alterações que visam evitar a sua detecção pelo toolkit detector foi lançada pela CrySyS Lab, que é um laboratório sediado em Budapeste. O Laboratory of Cryptography and Systems Security foi quem avistou o malware pela primeira vez.
Visão dos Especialistas e Dimensão dos Alvos do Trojan
De acordo com os comentários dos pesquisadores da especialista em segurança Symantec, "embora não tenhamos todas as informações sobre esta infecção, o surgimento deste novo arquivo mostra claramente que os atacantes virtuais ainda estão ativos. Sem os outros componentes do ataque, é impossível dizer se todos os novos desenvolvimentos foram adicionados ao código, desde a última vez que foi visto um comunicado do grupo em novembro de 2011.
Muitos pesquisadores e especialistas, acreditam que o trojan "Duqu" foi criado pelos mesmos autores como o Stuxnet, ou por desenvolvedores que tiveram acesso a seu código fonte. E ao que tudo indica, parece ter sido desenvolvido na mesma plataforma.
Segundo os Desenvolvedores, Trojan Duqu Continua em Plena Atividade |
Todavia, enquanto o principal objetivo do Stuxnet estiver voltado a interrupção das operações na instalação nuclear iraniana de Natanz, "Duqu" está voltado para comprometer sistemas de controle industrial, a fim de coletar informações a partir deles. Os ambientes domésticos e escritórios, onde são utilizados computadores, não devem ficar temerosos diante dessas duas ameaças. Pragavas virtuais dessa natureza tem metas muitos maiores para colocar em prática, devido a dimensão de seus alvos.
Esta conclusão também foi recentemente validada, quando os especialistas da Kaspersky Lab pediram e receberam ajuda de especialistas e programadores de malware, em relação a linguagem e ao módulo de comunicação através do qual Duqu C & C foi escrito.
Opiniões Colaborativas, Compilação e Linguagem C
Através da colaboração de uma variedade de comentários e e-mails enviados a sua maneira, a linguagem foi finalmente identificada como uma linguagem C orientada a objetos (OO C), com extensões especiais compiladas com o Microsoft Visual Studio 2008. Como o resto dos componentes de "Duqu" foram escritos em C + + e compilados com o Microsoft Visual C + + 2008, a questão que a descoberta tem levantado é "por que" nem todos componentes foram escritos e compilados com ele.
Levando esses fatos em consideração, duas possíveis (e úteis) respostas foram dadas pelos programadores: os autores do componente queriam ter certeza de que ele iria funcionar como deveria (enfatizando que código C + +, quando compilado, é imprevisível), e que seria bem melhor, sempre trabalhar com qualquer compilador, em qualquer plataforma.
Através da colaboração de uma variedade de comentários e e-mails enviados a sua maneira, a linguagem foi finalmente identificada como uma linguagem C orientada a objetos (OO C), com extensões especiais compiladas com o Microsoft Visual Studio 2008. Como o resto dos componentes de "Duqu" foram escritos em C + + e compilados com o Microsoft Visual C + + 2008, a questão que a descoberta tem levantado é "por que" nem todos componentes foram escritos e compilados com ele.
Levando esses fatos em consideração, duas possíveis (e úteis) respostas foram dadas pelos programadores: os autores do componente queriam ter certeza de que ele iria funcionar como deveria (enfatizando que código C + +, quando compilado, é imprevisível), e que seria bem melhor, sempre trabalhar com qualquer compilador, em qualquer plataforma.
Ref: Under Linux
0 comentários:
Postar um comentário