ايتنا - نكته هشدار دهنده در اين مورد اين است كه هدف نهايي «دوكو» هنوز ناشناخته است.
دوشنبه ۹ آبان ۱۳۹۰ ساعت ۱۰:۵۹
دوكو، برادر ناتني استاكسنت
گسترش جهاني نسخههاي مختلف برنامه خطرناك Duqu به تيتر نخست اخبار صنعت امنيت IT تبديل شده است.
تاحد زيادي اين امر به سبب برخي شباهتهاي بين اين كرم جديد و كرم مشهور سال گذشته، استاكسنت، ميباشد.
نكته هشدار دهنده در اين مورد اين است كه هدف نهايي «دوكو» هنوز ناشناخته است.
متخصصان ضدبدافزار آزمايشگاه كسپرسكي تحليلهاي خود را درباره اين بدافزار جديد جمعآوري كردهاند كه يافتههاي اصلي آنان بدين شرح است:
كرم Duqu نخستين بار در اوايل سپتامبر ۲۰۱۱، پس از آنكه يك كاربر در مجارستان يكي از بخشهاي نرمافزار مخربي را روي وبسايت Virustotal آپلود كرد، كشف شد. اين سایت فايلهاي آلوده شده را با برنامههاي ضدويروس شركتهاي مختلف(از جمله كسپرسكي) آناليز ميكند.
در هرحال مشخص شد كه نخستين نمونه تشخيص داده شده فقط يكي از چندين كامپوننتي است كه مجموعه كرم را تشكيل ميدهد.
كمي بعدتر، به طريقي مشابه، كارشناسان ضدبدافزار آزمايشگاه كسپرسكي، نمونهاي از ماژول ديگري از اين كرم را از طريق Virustotal دريافت كردند و اين بار مشخص شد اين كرم مشابهتهايي با استاکس نت دارد.
البته گرچه شباهتهايي كلي بين دو كرم «دوكو» و «استاكسنت» وجود دارد، تمايزهاي مهمي هم مشاهده شد. به زودي و پس از يافت شدن گونههاي مختلفي از دوكو، متخصصان كسپرسكي شروع به ردگيري اقدامات آلوده سازي بلادرنگ توسط كرم ميان كاربران شبكه امنيتي مبتني بر فناوري ابري كسپرسكي كردند.
نكته اعجاب برانگيز اين بود كه طي ۲۴ساعت نخست فقط يك سيستم توسط كرم آلوده شده بود. درحالي كه استاكسنت صدها هزار سيستم را در كل جهان آلوده كرده بود و تصور ميشد اين كرم چنين عمل كند- گرچه هدف نهايي استاكسنت هم يك چيز بود: سيستمهاي كنترل صنعتي مورد استفاده در برنامههاي هستهاي جمهوري اسلامي ايران. اما هدف غايي Duqu هنوز مشخص نيست.
تنها مورد آلودگي مشاهده شده توسط اين كرم در ميان كاربران شبكه امنيتي كسپرسكي، يك مورد آلودگي به واسطه ماژول ثانويه آن است كه در اصل يك برنامه مخرب جداگانه (يك تروجان - جاسوس) ميباشد كه تاكنون يافته نشده است.
موضوع مهم آن است كه اين ماژول از Duqu داراي عملكرد مخربي است. (اين كرم اطلاعات ماشين آلوده شده را جمعآوري ميكند و همچنين دكمههاي فشرده شده روي صفحه كليد را ردگيري ميكند.)
الكساندر گوستف، مشخص امنيتي ارشد كسپرسكي ميگويد: « ما به موردي از آلودگي كامپيوترهاي مشتريانمان توسط ماژول تروجان – جاسوس دوكو برنخورديم. اين يعني ممكن است هدف دوكو تعداد معدودي از اهداف خاص باشد و ماژول مختلف آن براي هدف قرار دادن هريك از آن اهداف مورد استفاده قرار گيرد.»
يكي از رازهايي كه تاكنون در مورد دوكو گشوده نشده، شيوه اصلي نفوذ آن به داخل سيستم است: نصب كننده يا Dropper لازم براي آن هنوز پيدا نشده است.
جستوجو براي شكار اين ماژول دوكو هنوز ادامه دارد. آنچه مشخص است، اين ماژول به ما در يافتن هدف نهايي اين برنامه مخرب به ما كمك خواهد كرد.
تمام نسخههاي يافت شده از كرم Duqa در حال حاضر توسط محصولات آنتيويروسي لابراتوار كسپرسكي تشخيص داده شدهاند. اطلاعات افزون تر در خصوص اين بدافزار را ميتوانيد در مقالات Alexander Gostev و Ryan Mariane در وب سایت www.Securelist.com پيدا كنيد.
کد مطلب: 20137
