Security W32.Duqu: l’erede di Stuxnet

[Asterix]

In questi giorni la Symantec ha rilasciato un annuncio inerente ad un nuovo trojan chiamato Duqu (alias W32.Duqu). Questa nuova minaccia puo’ essere considerata come l’erede del noto virus Stuxnet (nel 2010 ha causano non pochi danni), in quanto ne condivide buona parte del codice.

Il trojan ha come incarico quello di sottrarre ai malcapitati informazioni preziose da sfruttare in un secondo attacco, naturalmente le informazioni predilette sono quelle di tipologia industriale (come il suo predecessore) ma non per questo gli utenti privati ne sono immuni e non è possibile stabilire quali informazioni vengano archiviate per il futuro attacco; ricordiamo che il suo predecessore ha messo in ginocchio il sistema di controllo Scada, il quale controllava gli impianti di arricchimento dell’uranio siti in Iran.

Dupu come eredita parte del DNA di Stuxnet ed è in grado di installarsi all’interno dei sistemi informatici al fine di sottrarre svariate informazioni riservate tra cui ad esempio account e password ed inviarle ad un server remoto sito in India

La minaccia si presenta all’utente come file allegato jpg, esso si auto installa e viene avviato in modo del tutto automatico all’avvio del sistema operativo, una volta avviato apre una door nel sistema e grazie ad un keystroke logger registra tutto cio’ che viene digitato sulla tastiera.

La cosa più affascinante di questo trojan sta nel fatto che è programmato per auto-eliminarsi dopo 36 giorni, in questo modo se non individuato (in questo lasso di tempo) il malcapitato non verrà mai a conoscenza dell’attacco subito. Una notizia positiva c’è, da questa prima analisi sembra che Duqu non possegga la funzione di auto replicarsi all’interno dei singoli computer.

[wrongway]

Microsoft ha rilasciato un "Fix it" in attesa della patch: Microsoft Security Advisory: Vulnerability in TrueType font parsing could allow elevation of privileges

Articolo correlato: Microsoft Security Advisory (2639658): Vulnerability in TrueType Font Parsing Could Allow Elevation of Privilege

[Kirk78]

Ci sono più versioni del "Duqu", secondo il database di Avira: Duqu.A , Duqu.A.1 , Duqu.D.1
La più recente e più pericolosa pare sia la Duqu.D.2

[wrongway]

M$ col bollettino di sicurezza MS11-087 (KB2639417) ha patchato la vulnerabilità sfruttata da Duqu

(chi avesse applicato il "Fix it", prima di applicare la patch lo deve disabilitare scaricando il file apposito dalla stessa pagina dell'epoca)

[Kirk78]

Grazie wrongway! Mi hai fatto anche ricordare che dovevo aggiornarnare le patch di sicurezza su CT!