少し前に、原子力発電所の特定の機器用の特殊なソフトウェアを攻撃する危険なStuxnetワームに関するニュースリソースがニュースリソースに散らばっていたことを思い出します(Siemensのコントローラーは流通に該当しました)。 そのため、Symantecの専門家がStuxnetワームに関連するマルウェアを発見しました。StuxnetワームはDuquという名前を既に取得しています。 専門家によると、このワームはStuxnetの戦術を使用せず、わずかに異なるオブジェクトを選択して敗北させます。 Duquは、産業施設からあらゆる種類の情報を盗むように設計されています。 今週だけ新しいワームが発見され、専門家がこのソフトウェアの使用を開始しました。
このような奇妙な名前、Duqu、ワームは、作成するファイルの拡張子が原因で受け取った〜DQ。 ここでは、シマンテックの専門家によって行われた、このワームの多かれ少なかれ完全な分析(最初の段階)を見つけることができます。 このソフトウェアは、ヨーロッパの企業のコンピューターシステムで初めて発見されました。 このワームは10月14日に発見されたため、専門家は使用するデータがあまりありません。
ワームが求める情報は、主に企業のITインフラストラクチャを説明するドキュメントに関連しています。 おそらく、これらのデータは、さまざまなタイプの産業システムの制御を確立するために、攻撃者が後続の攻撃を実行するために必要です。 前述のように、DuquはStuxnetワームに似ており、原子のいとこと同一のコード部分を含んでいます。 専門家は、同じチームがStuxnetを開発した代表者のDuquと協力していると想定しています。
ワームの追加分析がMcAfeeの代表者によって行われ、Duquはヨーロッパだけでなくアフリカや中東でも「機能している」と報告されています。 ワームがシステムに入るとすぐに、キーロガーがすぐにインストールされ、すべてのユーザーアクションが記録され、追加のシステム情報も検索されます。 ワームは、システムで実行されているプロセスのリスト、ユーザーアカウントに関する情報、およびドメインに関する情報をコピーできます。 彼はスクリーンショットを撮り、ネットワーク情報を記録し、リムーバブルディスクやネットワークディスクを含む利用可能なすべてのディスク上のファイルを「探索」します。
シマンテックによると、このワームはシステムが起動されてから36日間動作しており、その後自己破壊します。
以下は、Stuxnetとシマンテックの新しいワームの比較です。
techtarget経由