Így működik a Duqu trójai

A Duqu trójairól elsőként a Symantec számolt be, és jelezte, hogy a kártékony program sok tekintetben hasonlít a hírhedt Stuxnet féregre. A Duqu elsősorban európai vállalatok, szervezetek informatikai rendszereit állította célkeresztbe azzal a céllal, hogy azokból későbbi támadásokhoz felhasználható adatokat szivárogtasson ki.

Az Isidor Biztonsági Központ által közzétett jelentés szerint a Duqu viszonylag kevés módosítást végez a fertőzött rendszereken, és ezzel próbál feltűnésmentesen tevékenykedni. A trójai a számítógépeken 36 napig marad rajta, ezt követően eltávolítja a saját állományait.

A Duqu alapvetően a következő információk iránt mutat fokozott érdeklődést:
- folyamatok listája
- domain és felhasználói információk
- elérhető adattárolók
- hálózati információk (interfészek, megosztások, routolás, stb.)
- megnyitott alkalmazások neve
- fájlrendszer feltérképezéséből származó információk.

A trójai képes a billentyűleütések folyamatos monitorozására és képernyőképek készítésére.

Amikor a Duqu trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%SystemDrive%/System32/drivers/jminet7.sys
%SystemDrive%/System32/drivers/cmi4432.sys
%SystemDrive%/inf/cmi4432.pnf
%SystemDrive%/inf/cmi4464.PNF
%SystemDrive%/inf/netp191.PNF

2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/JmiNET3
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/cmi4432

3. Nyit egy hátsó kaput.

4. Bizalmas adatokat gyűjt össze, illetve szivárogtat ki (HTTP vagy HTTPS révén)

5. Távoli vezérlőszerverről képes további kártékony állományokat letölteni.

6. A fertőzést követő 36. napon eltávolítja saját magát a fertőzött rendszerről.

A hír megjelenését a Biztonságportál támogatta.