戴爾SecureWorks公司上周三的(de)一份報告揭穿,新發現的(de)Duqu 木(mù)馬相關的(de)想法去年的(de)Stuxnet蠕蟲病毒或是由同一作者創建的(de)。
據SecureWorks公司之間Duqu和(hé)Stuxnet的(de)代碼和(hé)功能有一些相似之處,但很少有确鑿證據将兩者聯系。“支持的(de)證據是間接充其量不足,以确認有直接的(de)關系”。
Duqu木(mù)馬被發現本月(yuè)初,由一個(gè)名不見經傳的(de)匈牙利所謂的(de)加密和(hé)系統安全實驗室的(de)實驗室。上周在一份報告中,賽門鐵克稱爲木(mù)馬的(de)易制毒化(huà)學未來(lái)的(de)Stuxnet說,Duqu共享很多(duō)與Stuxnet的(de)源代碼,可(kě)能是由同一作者所創建的(de)。
賽門鐵克指出,不像Stuxnet,Duqu是沒有直接針對(duì)工業控制系統。其主要目的(de)是讓黑(hēi)客竊取工藝對(duì)使用(yòng)這(zhè)種系統的(de)實體的(de)攻擊,然後可(kě)以使用(yòng)的(de)工業控制系統的(de)制造商的(de)數據。
但是,戴爾SecureWorks公司首席技術官喬恩拉姆齊說,任何Duqu和(hé)Stuxnet的(de)之間的(de)鏈接出現最好的(de)脆弱。
他(tā)說:“Duqu和(hé)Stuxnet的(de)惡意軟件的(de)複雜(zá)件,具有多(duō)個(gè)組件。所謂的(de)兩個(gè)存在,隻是這(zhè)些組件之一之間的(de)相似之處”。
Duqu和(hé)Stuxnet的(de)使用(yòng)内核驅動程序解密和(hé)加載某些加密的(de)文件,被感染的(de)計算(suàn)機上。内核驅動程序作爲一個(gè)“噴射發動機”裝入一個(gè)特定的(de)過程文件,根據SecureWorks公司。内核的(de)Stuxnet和(hé)Duqu驅動程序使用(yòng)許多(duō)類似的(de)技術,如rootkit的(de)隐藏文件,加密和(hé)隐形。
但是,這(zhè)并不意味著(zhe)兩個(gè)有直接關系,拉姆齊指出已使用(yòng)過的(de)内核級的(de)rootkit,不是唯一的(de)Stuxnet或Duqu。拉姆齊說,此前發現的(de)惡意軟件威脅,如BlackEnergy 2和(hé)Rustock的(de)都使用(yòng)了(le)類似的(de)内核級的(de)rootkit。
Duqu的(de)内核驅動程序使用(yòng)與Stuxnet的(de)代碼簽名證書(shū)簽署的(de)事實已作爲這(zhè)兩者是相關的(de)标志。但損害如Duqu使用(yòng)一個(gè)可(kě)以從多(duō)個(gè)來(lái)源獲得(de)的(de)證書(shū)簽名,拉姆齊說。他(tā)說,有人(rén)已經證明(míng)Duqu和(hé)Stuxnet的(de)證書(shū)的(de)來(lái)源是相同的(de),以得(de)出一個(gè)明(míng)确的(de)結論。
拉姆齊說,比其他(tā)内核驅動的(de)異同,Duqu和(hé)Stuxnet的(de)相當幾乎所有其他(tā)方面的(de)不同 。
