Vai Duqu ir Stuxnet pusbrālis?

Kaspersky Lab ir apkopojis pirmos kaitīgās programmatūras Duqu pētījuma rezultātus. Pagājušajā nedēļā šīs programmatūras izplatīšana kļuva par vienu no populārākajiem ziņu tematiem. Galvenais iemesls – jaunā trojieša līdzība ar bēdīgi slaveno datortārpu Stuxnet.

Pirmo reizi datortārps Duqu tika pamanīts 2011. gada septembrī. Toreiz lietotājs no Ungārijas atklāja vienu no kaitīgās programmatūras moduļiem un augšupielādēja to tīmekļa vietnē Virustotal, kurā ir iespējams izanalizēt inficēto datni ar dažādu ražotāju antivīrusu programmām. Atrastajam paraugam piemīt trojieša spiega funkcijas. Tas saglabā iegūtos datus datnēs ar ~DQx.tmp veida nosaukumiem – tā arī radies kaitīgās programmatūras nosaukums.

Līdzīgs Stuxnet ir vīrusa galvenais modulis, kas tika atklāts nedaudz vēlāk. Pēc ekspertu domām, tieši tas tika izmantots sistēmas inficēšanai un sekojošajai trojieša lejupielādēšanai. Turklāt galvenais modulis un trojietis spēj darboties neatkarīgi viens no otra un funkcionalitātes ziņā ir pilnīgi patstāvīgas kaitīgās programmatūras. Lai gan Duqu galvenais modulis ir līdzīgs Stuxnet, tā spiegprogrammatūras daļas un datortārpa «radniecības saites» ir visai nosacītas. Turklāt ir novērojamas nozīmīgas atšķirības kaitīgo programmatūru darbībā.

Pēc tam, kad tika atklāti vairāki Duqu varianti, Kaspersky Lab eksperti sāka reālajā laikā izsekot mēģinājumiem inficēt lietotāju datorus ar jauno kaitīgo programmatūru. Pirmajā Duqu izsekošanas dienā tika konstatēts tikai viens īsts sistēmas inficēšanas gadījums, turklāt izdevās atrast vienīgi galveno moduli, kam nav kaitīgu funkciju. Savukārt Stuxnet izraisīja desmitiem tūkstošu inficēšanas gadījumu visā pasaulē, lai gan, domājams, bija vērsts tikai pret vienu mērķi Irānā.

«Mēs neesam atklājuši nevienu mūsu klientu datoru inficēšanas gadījumu ar spiegprogrammatūru, kas ietilpst Duqu sastāvā,» sacīja Kaspersky Lab galvenais antivīrusu eksperts Aleksandrs Gostevs. «Tas nozīmē, ka Duqu var būt vērsts pret nelielu skaitu īpašu objektu un katra sabojāšanai var būt izmantoti atšķirīgi moduļi.»

Viens no vēl neatklātajiem Duqu noslēpumiem ir sākotnējais veids, kā tas nokļūst sistēmā – pagaidām nav atrasta tam vajadzīgā instalēšanas programma vai nometējs. Turpinās šī Duqu elementa meklēšana, jo tieši tas varētu palīdzēt atklāt šīs kaitīgās programmatūras patieso mērķi.

Kaspersky Lab antivīrusu programmatūras pašlaik spēj konstatēt visas atklātās datortārpa Duqu versijas.

Vairāk informācijas par datortārpu Duqu var atrast Kaspersky Lab ekspertu Аleksandra Gosteva un Raiena Nareina emuāros tīmekļa vietnē [url]http://www.securelist.com[/url]