Trojan Duqu - nowe wątki

Przeczytaj także: Ukierunkowane ataki trojana Duqu

Kod powłoki exploita znajdował się w osadzonej czcionce przetwarzanej przez win32k.sys system. Czcionka miała nazwę Dexter Regular, a jej twórcy zostali przedstawieni jako Showtime Inc.

Jest to kolejny żart autorów Duqu, ponieważ Showtime Inc. to stacja telewizyjna, która wyprodukowała serial telewizyjny Dexter, opowiadający o laborancie analizy krwi z posterunku Policji w Miami, który jednocześnie jest seryjnym mordercą wymierzającym własną sprawiedliwość na przestępcach.

Sterownik załadowany przez exploita do jądra systemu posiadał datę kompilacji 31 sierpnia 2007 r. Analogiczny sterownik znaleziony w dropperze od CrySyS był datowany na 21 lutego 2008 r. Jeżeli te informacje są prawdziwe, autorzy Duqu musieli pracować nad tym projektem przez ponad cztery lata.

Sterownik ładował do procesu services.exe bibliotekę, która była również zlokalizowana w ciele exploita – głównym module droppera – i uruchamiał jego kod.

Na tym etapie dropper próbuje sprawdzić w rejestrze następujący klucz:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\"CF1D".

Należy zauważyć, że w dokumencie opublikowanym przez Symanteca wymieniony jest klucz CFID; jednak może to być literówka.

Dropper wydobywa ze swojego ciała zawartość sekcji “.init”, w której znajduje się nagłówek z magicznym identyfikatorem CIGH, oraz dodatkowe ustawienia, plik konfiguracyjny (.DLL) oraz sterownik, który jest instalowany w systemie. Po rozpakowaniu zawartości tej sekcji, zostaje przeprowadzony test, który sprawdza, czy aktualna data zgadza się z zakresem zdefiniowanym w nagłówku sekcji “.init” droppera. Jeżeli data nie mieści się w tym zakresie, trojan nie zostaje zainstalowany.