Home |

نسخه جديد ويروس W32.DUQU

ما يک فايل دريافت کرديم که در ابتدا خيلي بي ضرر به نظر ميرسيد اما در يک بررسي ابتدايي مشخص گرديد که اين فايل يک ورژن جديد از بد افزار W32.Duqu مي باشد. اين فايل حاوي يک جزئي از بد افزار Duqu مي باشد. اين فايل در زمان روشن شدن کامپيوتر فعال شده و بد افزار را به طور کامل بارگزاري ميکند. (بد افزار اصلي به صورت يک فايل رمزگذاري شده در هارد مي باشد.) فايل مورد نظر (Driver file.sys) در شکل ذيل نشان داده شده است.

همانطور که مي بينيد اين فايل يک قسمت کوچکي از فايل اصلي ميباشد و ما مانيتور نمودن فعاليت اين بد افزار را براي يافتن مابقي کدهاي مخرب ادامه داديم.

از آنجايي که تاريخ کامپايل اين بد افزار 23 فوريه 2012 ميباشد ميتوان نتيجه گرفت که مدت زمان زيادي از تاريخ ساخت آن نمي گذرد. با چک نمودن کدهاي اين بدافزار جديد مشخص شد که سازنده و يا سازندگان آن، کدها را فقط در حدي که اين بدافزار بتواند از ديد نرم افزارهاي امنيتي پنهان شود تغيير داده اند. که به نظر ميرسد تا حدي نيز موفق بوده اند.

يکي از تغييرات مهمي که در اين نسخه جديد داده شده تغيير الگوريتم رمزگذاري آن ميباشد. که در شکل ذيل قابل مشاهده ميباشد.

تغيير ديگر اين ورژن جديد در نوع signed نمودن آن ميباشد. به نحوي که در نسخه قبلي بدافزار توسط يک certificate دزديده شده singed شده بود در صورتي که در اين نسخه جديد اين اتفاق رخ نداده است. اطلاعات ورژن جديد نسبت به ورژن قبلي کاملاً متفاوت بوده و اطلاعات يک Microsoft Class Driver را به خود اختصاص داده است.

نسخه مورد بحث اولين نسخه يافت شده در سال 2012 مي باشد و نسخه هاي قبل در زمانهاي ذيل يافت شده است.

2010-11-03
2011-10-17

گر چه ما اطلاعات کاملي از اين بد افزار نداريم ولي اين نسخه جديد نشان دهنده فعال بودن اين بد افزار ميباشد. بدون داشتن تمامي کدهاي مخرب غير ممکن است که ما متوجه شويم که آيا کد جديدي به بد افزار اضافه شده است و يا خير. آخرين نسخه اين دسته از بدافزارها در سال 2011 ديده شده اند.


تاريخ: سه‌شنبه 22 فروردين 1391  ساعت: