据赛门铁克的分析,这个病毒文件的部分代码与STUXNET(震网病毒)非常类似,它可能是由同一个网络犯罪团伙编写。但是,与STUXNET(震网病毒)不同的是,从DUQU的代码来看,它的目的并不是为了访问和攻击SCADA,而是倾向于盗窃感染系统中的相关信息。
DUQU是由几个部分组成。其中的SYS文件(目前被检测为RTKT_DUQU.A),主要负责激活恶意程序并且触发执行其他例程。经过分析,我们发现该文件存在的主要目的是建立自身与其C&C服务器的连接。也就是说,DUQU将会通过此连接将窃取信息的病毒(目前被检测为TROJ_SHADOW.AF)放入受感染电脑。经过确认该病毒(TROJ_SHADOW.AF)的恶意代码与STUXNET(震网病毒)的相关代码非常相似.
一旦TROJ_SHADOW.AF被运行,他将枚举系统中所有目前正在运行的进程。确认是否有以下安全相关的进程:
• avp.exe(Kaspersky卡巴斯基)
• Mcshield.exe(McAfee麦克菲)
• avguard.exe(Avira小红伞)
• bdagent.exe(Bitdefender比特梵德)
• UmxCfg.exe (CA)
• fsdfwd.exe(F-Secure)
• rtvscan.exe andccSvcHst.exe (Symantec赛门铁克)
• ekrn.exe (ESET)
• RavMonD.exe(Rising瑞星)
如果发现这些进程,TROJ_SHADOW.AF会加载一个处于暂停状态的相同进程,将恶意代码注入该进程后恢复执行。这样系统中将会有两个杀毒软件进程,第一个是原始进程,而后面一个就是被病毒修改过的。
TROJ_SHADOW.AF需要使用命令行来正确执行。可用的命令包括:收集感染系统的信息,终止恶意软件进程,删除自身。它能够收集感染系统中的许多类型信息,例如:
1.驱动器信息:磁盘空间、驱动设备名称;
2.桌面截图;
3.正在运行的进程所属用户名;
4.网络信息:
IP地址
路由表
TCP/UDP表
DNS缓存表
本地共享
5.本地共享目录和已连接用户;
6.可移动存储设备序列号;
7.窗口名称;
8.使用NetFileEnum获取到的系统中打开的文件的信息。
如果有关于该病毒进一步发现,我们将继续更新此信息。目前,趋势科技防毒产品可以防护来自于这种新病毒的供给。趋势科技SPN智能防护网显示,尚未有趋势科技用户感染此病毒。趋势科技技术部门也尚未接到有关于该病毒的案件。
(责任编辑:安博涛)
