Эксперты «Лаборатории Касперского» продолжают исследование новой опасной вредоносной программы, получившей название Duqu. Напомним, что данное вредоносное ПО имеет общие черты с печально известным «промышленным» червем Stuxnet. На данный момент аналитики иэксперты только пытаются выявить реальную цель создателей новой киберугрозы, но уже сейчас эксперты сходятся во мнении, что Duqu является новым, универсальным инструментом для проведения целевой атаки на ограниченное число объектов, причем в каждом случае он может быть модифицирован в зависимости от поставленной задачи. На первом этапе исследования специалисты из «Лаборатории Касперского» выявили несколько особенностей Duqu. Во-первых, в каждой модификации вредоносной программы использовался видоизмененный драйвер, необходимый для заражения системы. В одном из случаев он задействовал поддельную цифровую подпись, в других — не был подписан. Во-вторых, стала очевидной высокая вероятность наличия и других элементов Duqu, которые пока не найдены. Все это позволило сделать вывод о том, что возможности данной вредоносной программы могут быть изменены в зависимости от того, какая именно цель является объектом атаки.

Малое количество заражений (всего одно на момент публикации первой части исследования «Лаборатории Касперского») серьезно отличает Duqu от Stuxnet, с которым у нового зловреда есть явные сходства. За время, прошедшее с момента обнаружения вредоносной программы, с помощью облачной системы безопасности Kaspersky Security Network удалось выявить новые случаи заражения. Одно из них было зафиксировано у пользователя в Судане, еще три — в Иране.

В каждом из случаев использовалась уникальная модификация драйвера, необходимого для заражения системы. Более того, на компьютере пользователя из Ирана, были также зафиксированы две попытки сетевых атак через уязвимость, которая ранее использовалась и Stuxnet, и вредоносной программой Kido. Инциденты произошли 4 и 16 октября, и в обоих случаях атака проводилась с одного IP-адреса, формально принадлежащего американскому интернет-провайдеру. Если одиночную атаку можно было бы «списать» на обычную активность Kido, по-прежнему широко распространенного в Сети вируса, то факт ее повторения говорит о том, что речь идет именно о таргетированной атаке на объект в Иране. Возможно, в ходе атаки были задействованы и другие уязвимости в программном обеспечении. «Несмотря на то, что ряд пострадавших от Duqu систем находятся в Иране, пока нет доказательств их принадлежности к промышленным объектам, тем более ядерным, — комментирует Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского». — Соответственно, нельзя утверждать, что цель новой вредоносной программы — та же, что и у Stuxnet. Тем не менее, очевидно, что каждый случай заражения Duqu уникален. Собранная экспертами информация позволяет с уверенностью говорить о том, что Duqu используется для целевой атаки на заранее определенные объекты».