Virus Duqu net analyse
Posté: Lun 7 Nov 2011 21:24
Comme vous le savez (ou peut être pas) Duqu, le virus est arriver sur le net français depuis quelque jours
Je vous présente un logiciel qui peux vous être très très utile
En effet NSS Labs a fabriqué un nouvel outil gratuit qui détecte Duqu et ces nouvelle mise à jour.
Duqu est un ver notoire qui exploitent la vulnérabilité Windows Zero-Day (déjà newser ici).
Microsoft a publié hier une solution temporaire pour cette vulnérabilité.
Selon le test, le taux de succès NSS outil est à 100%, zéro positives faux.
Il est également capable de détecter de nouveaux pilotes tels qu'ils sont discovered.
Deux nouveaux pilotes ont été découverts après que l'outil soit achevé, et les deux ont été détectés par l'outil de NSS avec aucune mise à jour nécessaire. Il semble que Duqu contient un code similaire et utilise des techniques similaires à Stuxnet.
Plus précisément, il semble faire usage de certificats numériques qui apparaissent comme légitimes, mais il est beaucoup trop tôt pour le décrire comme Stuxnet 2.
DuQu contient un code semblable à celui utilisé par Stuxnet.
DuQu utilise des techniques similaires à Stuxnet, en particulier l'utilisation de pilotes signés par «légitime» des certificats numériques. On ne sait pas si ces certificats ont été volés ou fabriqués par les attaquants suite au compromis d'une autorité de certification (CA)
DuQu n'est pas auto-réplication (bien que certains théorisent que c'est peut être commandé de se répliquer via des partages réseau), il nécessite l'utilisation d'un exploit basé sur "dropper" pour l'installer sur un système.
L'installateur, qui a utilisé un exploit zero-day du noyau livré via un document Microsoft Word, a été récupéré et est actuellement en cours d'analyse.
DuQu installe un keylogger pour enregistrer les frappes et de recueillir d'autres informations système.
Les informations volées sont emballés dans des fichiers d'image cryptées et compressées pour l'exfiltration ultérieures.
DuQu était communiquant via HTTP / HTTPS avec sa commande initiale et de contrôle (CC) du serveur dans l'Inde; un protocole CC personnalisé a été mis en œuvre en utilisant des fichiers image modifiée. Comme d'écrire ces lignes, le serveur CC a été désactivé.
DuQu a été initialement configuré avec une vie fixe, mis à désactiver après 36 jours, bien que des composants supplémentaires peuvent être installés à étendre ce que nécessaire.
Téléchargement
Ce script a été écrit pour vous aidez à trouver plus de pilotes DuQu.Pour utilisateurs avertis
Correctif de Windows
Télécharger Boite à outil détection
Cette boite à outils très simple d'utilisation vous servira à trouver Duqu sur votre PC si vous êtes infecté
