Duqu, figlio di Stuxnet e di madre ignota

Il nuovo, sofisticato malware ruba-informazioni continua a far parlare di sé: Kaspersky dice di aver individuato nuove infezioni in paesi come l'Iran, e di essere ancora alla caccia del sample originale
Il nuovo, sofisticato malware ruba-informazioni continua a far parlare di sé: Kaspersky dice di aver individuato nuove infezioni in paesi come l'Iran, e di essere ancora alla caccia del sample originale

Il fenomeno Duqu continua a essere parzialmente avvolto dal mistero: il trojan ruba-informazioni, identificato da Symantec e altre società di sicurezza come derivato del famigerato worm anti-nuclearista Stuxnet , compare in luoghi improbabili e impegna gli esperti in una caccia al malware che non conosce sosta.

La security enterprise moscovita Kaspersky, impegnata (come tutte le società concorrenti) ad analizzare il nuovo fenomeno da cima a fondo, dice di aver scovato infezioni riconducibili all’insolito “parassita” in Sudan e in Iran – proprio laddove Stuxnet aveva colpito più forte mettendo fuori gioco o comunque rallentando il piano di arricchimento nucleare messo in atto da Teheran.

Kaspersky è a conoscenza dell’esistenza di diverse varianti di Duqu – con almeno 13 driver di livello kernel sin qui noti – sei delle quali sono in mano agli analisti russi per studi approfonditi. Le infezioni identificate in Iran potrebbero in particolare fornire preziose informazioni sui metodi di diffusione del malware, il quale essendo un trojan non è in grado di passare autonomamente da sistema a sistema.

Nello studiare Duqu anche Kaspersky mette in evidenza il suo essere impiegato per “attacchi mirati contro vittime scelte con cura”, la capacità di mutare a ogni infezione (con checksum e nomi di driver di sistema sempre variabili) e il fatto che i suoi autori sembrano attivamente impegnati a rispondere colpo su colpo alle azioni di contrasto dell’industria antivirale.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

31 10 2011
Link copiato negli appunti