Буквально несколько часов назад компания Symantec обнародовала довольно интересный исследовательский отчет "Duqu: the precursor to the next Stuxnet". Собственно повествует он о вредоносной программе, которая своей реализацией сильно напоминает все известный Stuxnet. Причем настолько напоминает, что местами, кажется, что этот код писала одна и таже группа разработчиков. Сценарий работы очень схож со Stuxnet, но кода много и поэтому на 100% процентов для себя еще не подтвердил идентичность авторов. Из интересного вот такая вот сравнительная таблица:
Что странно пока не было найдено никаких страшных 0-day эксплойтов в коде Win32/Duqu и пока не совсем понятны методы его распространения. А вот история с легальными цифровыми подписями на вредоносных модулях Duqu, повторяется:
Сегодня нас ожидает много шумихи и спекуляций поэтому поводу в СМИ, так что запасайтесь попкорном, ибо грядет сиквел. А вот затмит ли он первую часть покажет время ;)
А вы не могли бы пояснить, каким образом выдаются такие сертификаты?
ОтветитьУдалитьВ данном случае, либо были куплены украденные сертификаты, либо украдены непосредственно для этой атаки.
ОтветитьУдалитьха, оно опять p2p через rpc устраивает ? не зря я в wincheck добавил проверку всяких левых rpc интерфейсов, хе-хе
ОтветитьУдалитьЧто не зря это точно ;)
ОтветитьУдалить