返回新闻列表

Duqu蠕虫的针对性攻击目标位于伊朗和苏丹

        卡巴斯基实验室的安全专家继续不懈地对Duqu这款新出现的恶意程序进行调查。Duqu同之前非常著名的攻击伊朗工业设施的Stuxnet蠕虫有很多相似之处。虽然目前该恶意软件的最终攻击目标还不明确,但现在已经明确的是Duqu是一款通用攻击工具,能够对一定数量的对象发动针对性攻击。而且,根据攻击任务的不同,还可以对其进行修改。

        卡巴斯基实验室专家在对Duqu蠕虫进行第一阶段分析时,发现了其几个显著特点。首先,发现的每个不同变种所使用的系统感染驱动都发生了变化。其中,有的驱动使用的是假冒的数字签名,而另一种驱动则根本被有签名授权。其次, Duqu蠕虫显然还存在其他元素,尽管目前还未被发现。通过这些研究成果,我们可以推测Duqu蠕虫的工作原理和攻击目标能够根据所要执行攻击任务的不同,进行相应的修改。

       目前,Duqu蠕虫仅感染少量计算机(卡巴斯基实验室发布Duqu蠕虫调查报告第一部分时,仅发现一例感染案例)。这一点是目前Duqu和Stuxnet最大的不同,尽管他们两者之间存在很多相似之处。从该恶意程序样本被发现到现在,仅有4例新的感染案例。其中,卡巴斯基实验室基于云的卡巴斯基安全网络起了很大的保护作用。根据追踪结果,其中一个受感染用户位于苏丹,而另外三个被感染用户则位于伊朗。

       上述4个Duqu感染案例中,都使用到了一种特殊的感染驱动变种。更为重要的是,针对伊朗用户感染中的一例所使用的驱动发动过两次网络攻击,并且利用了MS08-067漏洞发起攻击。而这个漏洞之前曾经被Stuxnet蠕虫所使用,同时也曾被更早的Kido恶意程序使用过。两次网络攻击行为分别发生于10月4日和10月16日,并且两次攻击均来自同一个IP地址,而这个IP地址属于某个美国互联网服务提供商。如果这样的攻击行为只有一次,其可能是典型的Kido蠕虫行为。但是,接连两次的攻击表明其针对性的目标是位于伊朗的某个对象。此外,很可能其在操作过程中,还会使用其他软件漏洞进行攻击。

       卡巴斯基实验室首席安全专家Alexander Gostev就这些新的调查结果发表评论说:“虽然目前的情况表明Duqu蠕虫攻击的系统位于伊朗,但现在还没有证据证实这些攻击同工业或核项目系统有关。所以,我们也无法确认这种新型恶意程序的攻击目标是否同Stuxnet一致。尽管如此,还是能够非常清晰的看到,每次Duqu的感染都有所不同。从这些信息可以判断,Duqu蠕虫肯定是为了对某个针对性目标进行攻击的恶意程序。”

       更多关于Duqu蠕虫的调查结果,请浏览www.securelist.com