安全研究人(rén)員(yuán)已經從CrySyS(加密和(hé)系統安全性)實驗室在匈牙利位于安裝Duqu,Stuxnet的(de)啓發它的(de)腳趾,過去幾周一直保安業的(de)威脅,并确定它利用(yòng)一種前所未知的(de)在Windows内核中的(de)漏洞 。
CrySyS從布達佩斯技術與經濟大(dà)學的(de)實驗室也(yě)首次确定Duqu的(de)其他(tā)組件一樣,減少感染系統上惡意的(de)驅動程序和(hé)DLL。
CrySyS研究人(rén)員(yuán)宣布:“我們的(de)實驗室[...]追求Duqu惡意軟件的(de)分(fēn)析和(hé)我們的(de)調查結果,我們确定了(le)一個(gè)MS滴管文件0天内核利用(yòng)内。”
他(tā)們補充說:“我們立即提供必要的(de)信息,例如,他(tā)們可(kě)以采取适當的(de)步驟保護用(yòng)戶的(de)主管組織。”
據賽門鐵克稱,專家分(fēn)析CrySyS提供的(de)樣品,Duqu感染計算(suàn)機通(tōng)過利用(yòng)零日Windows中的(de)漏洞,當打開一個(gè)Microsoft Word文檔。
流氓文件最有可(kě)能達到有針對(duì)性的(de)組織對(duì)員(yuán)工的(de)社會工程攻擊的(de)一部分(fēn)。“Word文檔是在這(zhè)樣一種方式,明(míng)确目标打算(suàn)接受組織制作的(de),”賽門鐵克的(de)研究人(rén)員(yuán)指出。
微軟已經提醒有關漏洞和(hé)修複工作。在此期間,用(yòng)戶應遵循來(lái)源不明(míng)的(de)最佳做(zuò)法,并沒有打開的(de)文檔。
因爲這(zhè)是一個(gè)内核中的(de)漏洞,隻有一個(gè)單一的(de)安裝程序是迄今爲止發現的(de),研究人(rén)員(yuán)不排除其他(tā)感染的(de)載體,除了(le)惡意制作的(de).doc文件。
這(zhè)些事實,Duqu是能夠感染不屬于自身複制到網絡上的(de)共享文件夾連接到Internet的(de)計算(suàn)機。
事實證明(míng),惡意軟件回退機制,踢腿時(shí)無法檢測到活動的(de)互聯網連接,涉及從其他(tā)受感染的(de)系統,在同一網絡上下(xià)載更新的(de)配置文件。
