“Stuxnet 2.0”出現(xiàn) - Duqu木馬手法多端功能強(qiáng)大

之前Stuxnet蠕蟲(chóng)病毒放倒了伊朗核電站而一戰(zhàn)成名，這種專(zhuān)門(mén)針對(duì)西門(mén)子SCADA系統(tǒng)的惡意軟件因?yàn)楣粼O(shè)備和行業(yè)受到廣泛關(guān)注，不過(guò)今天賽門(mén)鐵克表示，他們發(fā)現(xiàn)了一種同類(lèi)型的病毒，所攻擊的方式頗為相似，但目標(biāo)有差異，這次對(duì)準(zhǔn)的不是核電站，而是各個(gè)行業(yè)的設(shè)計(jì)文件。

這種惡意軟件被稱(chēng)為“Duqu”，他在計(jì)算機(jī)上創(chuàng)建的文件名使用前綴DQ，本身這是一個(gè)遠(yuǎn)程訪問(wèn)的木馬，不過(guò)這種木馬性能相當(dāng)強(qiáng)大，可以竊取特定形式的文檔例如設(shè)計(jì)文件，同時(shí)還可以記錄擊鍵，并將系統(tǒng)信息發(fā)還給種馬者。

目前已經(jīng)在歐洲數(shù)間公司發(fā)現(xiàn)這種惡意軟件樣本，這種木馬似乎只定向出現(xiàn)在一個(gè)行業(yè)中，這一點(diǎn)和Stuxnet極為相似，“Duqu”的代碼與 Stuxnet也有很類(lèi)似的地方，并且這種惡意軟件不會(huì)利用任何系統(tǒng)漏洞，傳播途徑只靠人，可以說(shuō)它就是一款社會(huì)工程木馬。但賽門(mén)鐵克以保護(hù)客戶(hù)隱私為由拒絕透露被感染的公司名稱(chēng)。

這種木馬還會(huì)通過(guò)JPG格式發(fā)送加密后的數(shù)據(jù)，同時(shí)還攻擊證書(shū)頒發(fā)機(jī)構(gòu)來(lái)偽造身份，實(shí)現(xiàn)針對(duì)性攻擊，并且在感染后36日內(nèi)自毀，可以說(shuō)它給病毒制造者帶來(lái)了許多新的思路。