卡巴斯基公布一份報告顯示,被認為是Stuxnet二代的惡意軟體Duqu在蘇丹及伊朗出現過,報告中四次Duqu所使用的檔案及驗證碼均不相同。
卡巴斯基在報告中分析四起Duqu感染事件,一起發生在蘇丹,另外三起在伊朗,其他資安公司曾指出英國、美國、義大利及印尼等地區發生過Duqu感染事件。卡巴斯基公司認為Duqu病毒主要分為三大模組,核心模組負責入侵電腦系統,在電腦系統中注入一個DLL檔成為第二個模組,作為通訊與控制之用,例如設定及執行程式,第三個模組則為設定檔。卡巴斯基認為目前Duqu至少有13種不同的核心模組,但該公司目前只發現六種,而且還無法判斷Duqu的入侵途徑及目標為何。
由於Duqu病毒的架構非常靈活,因此能夠自行更新、修改命令與控制、安裝其他模組。例如一個Duqu病毒9/9在匈牙利某個用戶將檔案傳送至VirusTotal線上惡意軟體掃描服務,發現其DLL模組具有側錄鍵盤的功能,但卡巴斯基在這幾個感染事件中並未發現該功能的模組。
Duqu病毒是由匈牙利CrySyS實驗室所發現,並經賽門鐵克率先揭露。大部分的資安公司都認為Duqu與攻擊伊朗核電工業的Stuxnet病毒有一定程度的關聯,若不是同一團隊所為,至少擁有Stuxnet病毒的原始碼。
不過也有廠商不苟同這種看法,Dell電腦旗下的SecureWorks就認為兩者沒有一定的關聯,該公司認為兩者僅在入侵模組使用相同的rootkit及簽證,其他模組與功能跟Stuxnet病毒有很大的差異。(編譯/沈經)
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12
Advertisement