Trojan Duqu - nowe wątki

Przeczytaj także: Ukierunkowane ataki trojana Duqu

Nadawca e-maila, Jason B., okazał się bardzo wytrwałą osobą. Wiadomość nie została wysłana masowo, ponieważ zarówno w temacie jak i w nazwie pliku wymieniono atakowaną firmę.

W obu przypadkach e-mail został wysłany z tego samego adresu IP, zlokalizowanego w Seulu, w Korea Południowa. Według nas komputer został wcześniej zainfekowany przez szkodliwy program i wykorzystany (bez wiedzy właściciela) jako proxy.

Drugi atak okazał się skuteczny: adresat otworzył załączony plik DOC, który zawierał exploita wykorzystującego luki w zabezpieczeniach oraz instalator trojana.

Osoby atakujące zastosowały na tym etapie interesujący fortel. Zaraz po otwarciu pliku przez adresata exploit zaczynał swoje działanie: stawał się aktywny, rezydując w pamięci, ale nie robił nic! W międzyczasie mógł zostać zamknięty zarówno oryginalny plik szkodnika jak i sam plik Worda.

Ten okres braku aktywności trwał około dziesięciu minut, po czym exploit czekał na koniec aktywności użytkownika (brak aktywności z wykorzystaniem klawiatury czy myszki). Dopiero wtedy dropper zaczynał działać.

Znaleziony wariant droppera różni się nieco od droppera znalezionego przez węgierskie laboratorium Crysys i opisanego przez Symanteca. Jednak różnice te dotyczą głównie rozmiarów i dat stworzenia tego komponentu.

Exploit -> jądro -> sterownik w jądrze -> loader dll w services.exe -> duży plik konfiguracyjny w services.exe -> duży plik konfiguracyjny instalujący się z lsass lub procesu AV.