Как определить дату заражения Duqu

Как сообщила компания ESET, ее российские специалисты разработали метод определения точной даты проникновения вредоносных программ семейства Win32/Duqu в систему компьютера.

Duqu – троянская программа, которая может использоваться для целенаправленных атак на крупные компании и промышленные предприятия. Вирусные аналитики ESET провели исследование файлов, полученных с компьютеров, которые были заражены этим вредоносным ПО. Было установлено, что технологическое устройство Duqu совпадает с концепциями, реализованными в Stuxnet, а функционал драйверов, устанавливаемых Duqu, практически полностью повторяет код Stuxnet. Следовательно, создателями данного вредоносного ПО является организация или группа людей, которая обладает доступом к исходным кодам нашумевшего шпионского червя.

Специалисты ESET также восстановили алгоритм шифрования конфигурационных файлов Duqu и его формат. При этом они разработали методику определения точной даты заражения системы данной троянской программой, что особенно важно при проведении криминалистической экспертизы при инцидентах, связанных с заражениями компьютеров на промышленных предприятиях. Кроме того, определение времени инфицирования системы необходимо из-за особенностей распространения Duqu – срок его пребывания в системе компьютера ограничен.

На исследованных образцах была отмечена интересная особенность: на двух наборах данных время заражения системы практически совпадало, но с разницей в одну неделю. При этом образцы были взяты из разных мест. Это может означать, что была проведена группа целенаправленных атак.

На сегодняшний день наиболее вероятной версией появления Duqu является сбор информации и дальнейшее координирование действий вредоносной программы из командного центра. При этом Duqu может скачивать и устанавливать дополнительный функционал в виде модулей, которые уже выполняют основные цели атаки.