نسخه جديد ويروس W32.DUQU

ما یک فایل دریافت کردیم که در ابتدا خیلی بی ضرر به نظر میرسید اما در یک بررسی ابتدایی مشخص گردید که این فایل یک ورژن جدید از بد افزار W32.Duqu می باشد. این فایل حاوی یک جزئی از بد افزار Duqu می باشد. این فایل در زمان روشن شدن کامپیوتر فعال شده و بد افزار را به طور کامل بارگزاری میکند. (بد افزار اصلی به صورت یک فایل رمزگذاری شده در هارد می باشد.) فایل مورد نظر (Driver file.sys) در شکل ذیل نشان داده شده است.

همانطور که می بینید این فایل یک قسمت کوچکی از فایل اصلی میباشد و ما مانیتور نمودن فعالیت این بد افزار را برای یافتن مابقی کدهای مخرب ادامه دادیم.

از آنجایی که تاریخ کامپایل این بد افزار 23 فوریه 2012 میباشد میتوان نتیجه گرفت که مدت زمان زیادی از تاریخ ساخت آن نمی گذرد. با چک نمودن کدهای این بدافزار جدید مشخص شد که سازنده و یا سازندگان آن، کدها را فقط در حدی که این بدافزار بتواند از دید نرم افزارهای امنیتی پنهان شود تغییر داده اند. که به نظر میرسد تا حدی نیز موفق بوده اند.

یکی از تغییرات مهمی که در این نسخه جدید داده شده تغییر الگوریتم رمزگذاری آن میباشد. که در شکل ذیل قابل مشاهده میباشد.

تغییر دیگر این ورژن جدید در نوع signed نمودن آن میباشد. به نحوی که در نسخه قبلی بدافزار توسط یک certificate دزدیده شده singed شده بود در صورتی که در این نسخه جدید این اتفاق رخ نداده است. اطلاعات ورژن جدید نسبت به ورژن قبلی کاملاً متفاوت بوده و اطلاعات یک Microsoft Class Driver را به خود اختصاص داده است.

نسخه مورد بحث اولین نسخه یافت شده در سال 2012 می باشد و نسخه های قبل در زمانهای ذیل یافت شده است.

2010-11-03
2011-10-17

گر چه ما اطلاعات کاملی از این بد افزار نداریم ولی این نسخه جدید نشان دهنده فعال بودن این بد افزار میباشد. بدون داشتن تمامی کدهای مخرب غیر ممکن است که ما متوجه شویم که آیا کد جدیدی به بد افزار اضافه شده است و یا خیر. آخرین نسخه این دسته از بدافزارها در سال 2011 دیده شده اند.

تاريخ: سه‌شنبه 22 فروردين 1391  ساعت: 18:05

پشتيباني مشتريان

دريافت نرم‌افزار

نظرسنجي

از چه ديواره آتشي استفاده مي‌كنيد؟
Cisco PIX

Netscreen

Watchguard

Packet Alarm