Duqu背後的(de)黑(hēi)客集團可(kě)能已在其攻擊代碼工作四年多(duō),新的(de)木(mù)馬分(fēn)析顯示。
莫斯科的(de)卡巴斯基實驗室發表了(le)一些研究結果從最近通(tōng)過Duqu在蘇丹的(de)研究人(rén)員(yuán)提供的(de)樣品時(shí)說,一個(gè)攻擊負載的(de)驅動程序被編譯在2007年8月(yuè),延長(cháng)了(le)該團夥的(de)工作時(shí)間表。
卡巴斯基的(de)高(gāo)級研究員(yuán) Roel Schouwenberg說:“我們不能100%确定該日期,但所有其他(tā)文件的(de)編譯日期似乎匹配。因此,我們要正确實現這(zhè)一日期”。
他(tā)補充說,2007年8月(yuè)驅動程序是最有可(kě)能創建專門爲Duqu組負責攻擊,并沒有一個(gè)現成的(de),現成的(de)文件被别人(rén),因爲司機尚未發現其他(tā)地方。
其他(tā)研究人(rén)員(yuán)發現之間Duqu進行建造日期2008年2月(yuè)使用(yòng)這(zhè)些文件,但實際的(de)攻擊已經追溯到2011年4月(yuè)。
一個(gè)月(yuè)前一位不願透露姓名的(de)人(rén)士提供蘇丹的(de)樣品表示對(duì)目标進行襲擊事件發生在該國,根據卡巴斯基,這(zhè)兩個(gè)獨立的(de)企圖,第一次4月(yuè)17日,第二次4月(yuè)21日。植物(wù)惡意軟件Windows個(gè)人(rén)電腦(nǎo)。
第一次攻擊失敗,因爲攜帶一個(gè)惡意Word文件的(de)電子郵件是垃圾郵件過濾器堵塞;第二次是成功的(de)。
Microsoft已經确認,Duqu運動利用(yòng)一個(gè)漏洞,Windows内核模式驅動程序,特别是“W32k.sys,”和(hé)TrueType字體解析引擎-被感染的(de)PC上獲得(de)足夠安裝惡意軟件的(de)權利。