В Сети появился червь Duqu, «родственник» Stuxnet

Такое странное название, Duqu, червь получил благодаря расширению создаваемых им файлов, ~DQ. Вот здесь можно найти более-менее полный анализ (первые этапы) червя, проведенный специалистами Symantec. Впервые это ПО было обнаружено в компьютерных системах европейских предприятий. Обнаружен червь был 14 октября, так что у экспертов пока не так и много данных, с которыми можно работать.

Информация, которую ищет червь, касается прежде всего документов с описанием ИТ-инфраструктуры предприятия. Вероятно, эти данные нужны злоумышленникам для осуществления последующих атак уже с целью установления контроля над разного типа промышленными системами. Как говорилось выше, Duqu является родственным червю Stuxnet, и содержит части кода, идентичные "атомному" родственнику. Специалисты делают предположение, что с Duqu работала та же команда, представители которой разрабатывали Stuxnet.

Дополнительный анализ червя провели представители McAfee, сообщившие, что Duqu также "работает" и в Африке, и на Среднем Востоке, а не только в Европе. Как только червь попадает в систему, сразу устанавливается кейлоггер, записывающий все действия пользователя, а также происходит поиск дополнительной системной информации. Червь может копировать список запущенных в системе процессов, информацию об аккаунте пользователя, а также информацию о домене. Делает он и скриншоты, записывает сетевую информацию, а также "исследует" файлы на всех доступных дисках, включая съемные и сетевые.

По данным Symantec, червь работает в системе 36 дней с момента запуска, а потом самоуничтожается.

Вот сравнение Stuxnet и нового червя, проведенное Symantec.