关于Duqu木马病毒的常见问题与答案

wswzwl

Duqu究竟是什么？它如何跟Stuxnet联系在一起的？
　　Duqu是一种复杂的木马，有迹象表明其制造者与臭名昭著的Stuxnet蠕虫创建者为同一人。与Stuxnet比起来，Duqu更像是系统中的后门程序，主要目的是为私密信息的盗取提供便利。而Stuxnet则被用来进行工业破坏。还有一点很重要的是，Stuxnet能够运用各种方法将自己从一台计算机复制到另一台计算机上，而Duqu只是一种木马，目前没有发现自我复制的行为。
　　Duqu是否攻击PLC/SCADA设备？它的攻击目标究竟是谁？我们了解吗？
　　与Stuxnet不同，尽管Duqu的一些子程序可以用来盗取与工业生产设备相关的信息，但它并不会直接攻击PLC/SCADA设备。从其表现来看，Duqu被创建的目的是用来收集与其攻击目标有关的情报，包括受攻击设备中所有以数字格式保存的信息。
　　Duqu是如何感染计算机的？它能否通过USB设备传播？
　　根据我们已经分析的案例来看，Duqu通过对Word文档的CVE-2011-3402漏洞发起针对性攻击，进而感染计算机。该漏洞是在Windows核心组件Win32k.sys中的零日漏洞，它使得攻击者可以以最高级别权限运行代码，并绕过Windows或安全软件的大部分保护机制。从我们掌握的情况来看，Duqu是唯一一个利用该漏洞来感染计算机的恶意软件。卡巴斯基实验室所有的安全解决方案于2011年11月6日起就能够检测到这种名为Exploit.Win32.CVE-2011-3402.a的漏洞。
　　Duqu中是否有漏洞攻击代码，特别是零日漏洞？
　　在最初的阶段，Duqu的确利用了零日漏洞对计算机进行感染。为此，微软已经发布了相关的基本信息和补救措施的建议（2639658）。
　　反病毒厂商是怎么发现这个威胁的？谁最先报告的？
　　Duqu最开始引起了匈牙利研究实验室CrySyS的安全社区人员的注意，他们最先指出了Duqu与Stuxnet有相似之处，并开展了迄今为止最全面的恶意软件分析工作。
　　该威胁是什么时候被首次发现的？
　　首个Duqu攻击最早于2011年4月中旬被发现。之后，攻击持续了几个月，直到10月18日，有关Duqu的新闻被公开。
　　Duqu有多少个变种？各变种之间有什么主要的区别？
　　就目前看，Duqu至少有7个驱动程序变种，以及少量其它组件。这些变种被不同的反病毒公司检测到后，都被定义了不同的名字，所以，好像看上去有很多的变种。就当前而言，我们已经确认了两种以信息盗取为主的变种程序，以及7种驱动程序变种。此外，我们怀疑至少还存在一种信息盗取变种程序，这种程序具备直接在受攻击设备上搜索和盗取文档的能力。
　　关于专门攻击证书授权机构这样的说法，是否属实？
　　的确有一些报告指出，Duqu的主要目的是从证书授权机构中盗取信息，但目前并没有确凿的证据来支持这个说法。与之相反，我们相信Duqu的主要目的恰恰不是这样，而证书授权机构只不过是其次要的目标。
　　赛门铁克指出该病毒专门针对特定组织，很可能是以搜集特定信息并用于在将来发起攻击为目的的。那它们到底是要搜集什么样的信息呢？将来有可能进行什么样的攻击？
　　有一种猜测是，Duqu只是被用来从证书认证机构中盗取证书，而这些证书可以用作为恶意代码进行数字签名，使其更难被发现。Duqe中的后门功能相当复杂，并且用途也更广。基本上，Duqe可以盗取一切信息，然而，从其发动的攻击情况来看，它似乎只对收集密码、抓取桌面截图（暗中监视用户的操作）、盗取各类文件感兴趣。
　　Duqe使用的指令与控制服务器是否还在继续运行？当受感染的机器与指令与控制中心联系时会发生什么？
　　最初的Duqu指令与控制服务器（C&C）主机位于印度，现在已经不再运行了。跟Stuxnet事件一样，当事件曝光后，服务器立刻进入关闭状态。除此之外，我们知道在比利时有另一台C&C，但也很快不再运行。事实上，每一次Duqu发起的针对性攻击都使用不同的C&C服务器。
　　为何Duqu的运行时间是36天？
　　也许创建者对平方数很痴迷吧，比如6x6? 事实上，Duqu在系统中的运行时间由其配置文件来决定，而在不同的攻击中，设置的时间也是不同的。我们已经发现在有些攻击事件中其运行时间被设置为30天。
　　谁是此次攻击的幕后主谋？
　　与Stuxnet是同一个幕后集团。很奇怪的是，他们看起来对天文学很有兴趣；在信息窃贼的可执行文件中包含了一个JPEG文件，是一张哈勃望远镜拍摄的照片（“相互作用的星系系统NGC6745”）。
　　目标系统中究竟是什么被盗取了？
　　当Duqu被激活后， Duqu的主程序会连接C&C服务器，从而下载更新和补充模块。其中一个模块就是Duqu“信息窃贼”，该程序的两种版本已被确认，而其它的版本也应该在一定时期内在不同阶段出现过。
　　“信息窃贼”模块会被下载到内存中并通过Stuxnet和Duqu所使用的进程注入技术执行，以避免创建临时文件。这么做的目的是为了确保“信息窃贼”（以及其它Duqu更新程序）不会被拦截或遗留在受感染设备中。这也意味着这些病毒程序的生命十分有限，基本上到下次系统重启时，程序生命期就结束了。
　　“信息窃贼”最强大的版本拥有拦截键盘输入的能力，能截取全屏图像（第一次）和活动窗口的图像，收集IE浏览器历史记录以及与系统网络配置相关的各种数据。除此之外，它还具有可以浏览网络共享的代码。所有这些信息被巧妙的压缩到一个文档中，并默认写入%TEMP%（临时）文件夹，成为格式为BZIP2的压缩文档，正是由于这种BZIP2的压缩，使得文档的体积比常规压缩小得多。
　　我们目前已知“信息窃贼”通常创建后缀名为“~DQx.tmp”的文件。除此之外，我们还发现其它名为“~DFxxxxx.tmp”和“~DOxxxxx.tmp”的文件。“DF”和“DO”具有相似的格式，可能是由早期版本的“信息窃贼”生成的。但他们还包含更多的信息，包括各种各样有关受感染PC的文件，如Word或Excel文档。由于额外的文件内容，“~DF”文件体积通常更大些。
　　在所有的情况中，通过内容为“ABh91AY&SY”的文件头就可以轻易识别这些文件。如果您在您的计算机中发现了这样的文件，那的计算机很可能已经被Duqu感染。如果您想要在您的系统中扫描此类文件，热心的CrySyS人员会为您提供一系列实用的工具。
　　有传闻说Duqu与Stuxnet的制造者是同一人，但也有传闻说Duqu和Stuxnet是分别由不同的人制造的。到底哪个才是事实？
　　Duqu与Suxnet有太多的相似之处。它们都采用了各种各样的加密密钥 - 包括一些在Duqu之前，还未曾公开过的密钥，注入技术，零日漏洞，以及使用偷来的证书做为其驱动程序进行签名。所有这些特点都让我们相信，两者由同一个团队制造。
　　那么，这究竟意味着什么呢？简言之，也许不同的人分别创建了Duqu和Suxnet，但是他们都是为同一个“机构”工作的。如果你想要找出它们的类似之处，那就是Duqu与Stuxnet都很喜欢Windows和Office，而这两个攻击对象均来自微软公司，当然，背后操作的人员并不一定相同。
　　Duqu与Showtime热播电视剧《嗜血判官》又有什么联系？
　　在我们分析的事件中，Duqu以Microsoft Word文档的形式潜入系统，而文档包含一个称为CVE-2011-3402漏洞探测程序。这是在win32k.sys中处理TrueType字体的功能的一个缓冲区漏洞。要针对该漏洞实施攻击，攻击者需要编制一种特别的TrueType字体，并将其植入到像Word这样的文档中。
　　有关这二者之间的联系，在我们分析的事件中（对于其它已知事件也适用），攻击者使用的字体大概被称为“嗜血判官标准版”，Showtime公司出品，(c) 2003。显然，这是Duqu创建者编造的另一个恶作剧。因为Showtime是一家有限广播公司，旗下出品的电视连续剧《嗜血判官》，讲述了一名CSI探员同时又是一名非法惩治罪犯的连环杀手的故事，该剧可以说是早期由Charles Bronson在《Death Wish》中所塑造角色的后现代版本。
　　那么，Duqu的创建者是否是对计算机恶意软件感兴趣的反社会连环杀手？
　　我们希望他们仅仅是《嗜血判官》的剧迷而已。
　　Stuxnet包含一个指向1979年5月9日的特殊变量，在这天，一名叫做Habib Elghanian的显赫犹太商人在德黑兰被一只行刑队处决。在Duqu中是否也有这样的日期？
　　有意思的是，Duqu中也发现了同样的内容。匈牙利CrySyS实验室是第一个指出Duqu中使用了0xAE790509的机构。在Stuxnet事件中，0x19790509这个整数被用来检测感染的情况。而在Duqu中，所使用的常量是0xAE790509。
　　我们尚未了解的是0xAE790509是否曾经在Stuxnet中被使用过。不管怎样，在Duqu出现之前，我们熟悉的各种公开分析报告没有涉及到这一方面。
　　在Duqu和Stuxnet中，还有很多地方使用到了常量0xAE。
　　最后，Duqu还使用了常量0xAE240682作为一种已知PNF文件解密程序中的一部分。

嵩弦离合

额，没遇到这种Duqu，也没听说过，前排占位学习了

a13828565410

这个。压力很大

李白vs苏轼

嘿嘿，挺好的

wwdboy

不懂

尘梦幽然

这个科普还是有必要的。又一种高科技病毒。可惜就是这篇科普文来得太迟了。。。Duqu的流行都已经是过去一段时间的事情了

-oAo-

不了解Duqu，只相信杀软