Трояны Duqu и Stuxnet могут быть частью единой платформы
Лаборатория Касперского завершила очередной этап исследования вредоносных программ Duqu иStuxnet. Оннетолько подтвердил предположения экспертов оналичии уних общего автора, ноипозволил говорить осуществовании единой платформы, лежащей вихоснове. Она получила условное имя Tilded и, помнению аналитиков Лаборатории Касперского, использовалась для создания Stuxnet, Duqu, атакже других вредоносных программ. Анализ драйверов, предназначенных для заражения, показал, что она могла быть разработана задолго доначала эпидемии Stuxnet.
Вовремя исследования зараженной системы, атака накоторую спомощью Duqu произошла, предположительно, вавгусте 2011г., эксперты обнаружили драйвер, очень похожий натот, который ранее был использован водной изверсий Stuxnet. Однако были иотличия например, дата подписания цифрового сертификата. Других файлов, которые можно былобы отнести кStuxnet, наатакованном компьютере обнаружено небыло.
Обработка полученной информации идальнейший поиск вбазе вредоносных программ Лаборатории Касперского выявили еще один драйвер спохожими характеристиками. Изначально онбыл обнаружен более года назад, аскомпилирован данный файл был ивовсе вянваре 2008г., загод досоздания драйверов, используемых Stuxnet. Всего эксперты нашли 7типов драйверов сосхожими характеристиками. Примечательно, что для трех изних пока нет информации отом, для какой вредоносной программы они предназначались.
Драйверы отпока неизвестной вредоносной программы нельзя отнести кактивности Stuxnet иDuqu, отмечает Александр Гостев, главный антивирусный эксперт Лаборатории Касперского. Методы распространения Stuxnet привелибы кгораздо большему числу заражений, акболее таргетированному троянцу Duqu ихнепозволяет отнести дата компиляции. Мысчитаем, что эти драйверы использовались либо вранних версиях Duqu, либо для заражения совершенно другими вредоносными программами, которые при этом имеют общую платформуи, скорее всего, единую команду создателей.
Поверсии экспертов Лаборатории Касперского, киберпреступники, стоящие заDuqu иStuxnet, несколько раз вгод создают новую версию драйвера, который осуществляет загрузку основного модуля вредоносной программы. При планировании новой атаки спомощью специальной программы изменяются некоторые параметры драйвера, такие как, например, ключ реестра. Взависимости отзадачи такой файл также может быть подписан легальным цифровым сертификатом, либо оставлен без подписи.