Tgames Actualité Consoles et Homebrew

DuQu contient un code semblable à celui utilisé par Stuxnet.
DuQu utilise des techniques similaires à Stuxnet, en particulier l'utilisation de pilotes signés par «légitime» des certificats numériques. On ne sait pas si ces certificats ont été volés ou fabriqués par les attaquants suite au compromis d'une autorité de certification (CA)
DuQu n'est pas auto-réplication (bien que certains théorisent que c'est peut être commandé de se répliquer via des partages réseau), il nécessite l'utilisation d'un exploit basé sur "dropper" pour l'installer sur un système.
L'installateur, qui a utilisé un exploit zero-day du noyau livré via un document Microsoft Word, a été récupéré et est actuellement en cours d'analyse.
DuQu installe un keylogger pour enregistrer les frappes et de recueillir d'autres informations système.
Les informations volées sont emballés dans des fichiers d'image cryptées et compressées pour l'exfiltration ultérieures.
DuQu était communiquant via HTTP / HTTPS avec sa commande initiale et de contrôle (CC) du serveur dans l'Inde; un protocole CC personnalisé a été mis en œuvre en utilisant des fichiers image modifiée. Comme d'écrire ces lignes, le serveur CC a été désactivé.
DuQu a été initialement configuré avec une vie fixe, mis à désactiver après 36 jours, bien que des composants supplémentaires peuvent être installés à étendre ce que nécessaire.

Téléchargement

Ce script a été écrit pour vous aidez à trouver plus de pilotes DuQu.Pour utilisateurs avertis

Correctif de Windows

Télécharger Boite à outil détection