Trojan Duqu - nowe wątki

Przeczytaj także: Ukierunkowane ataki trojana Duqu

Na obu komputerach znaleziono ślady działania modułu szpiegującego, tj. plików o nazwie ~DFxxxxx.tmp (np. ~DF1EF83.tmp) oraz ~DQx.tmp (np. ~DQ2C6.tmp).

Nazwa pliku ~DF[pięciocyfrowa liczba] różni się formatem od nazw plików tymczasowych stworzonych przez MS Word, które stosują format ~DF[czterocyfrowa liczba].

Pliki ~DF zawierają skompresowany identyfikator zainfekowanego systemu i rozpoczynają się od wiersza ABh91AY&SY. Pliki ~DQ zawierają zebrane informacje (listy procesów, zrzuty ekranu, informacje o aplikacjach). Pliki te są również skompresowane i zawierają podobny znacznik, różniący się tylko jednym symbolem: AEh91AY&SY.

Na razie nie wiadomo, jaki moduł tworzy pliki ~DF (pliki ~DQ są tworzone przez znany moduł szpiegujący) ani co dokładnie jest celem tych plików. Na pierwszym komputerze pliki te były datowane na 27 kwietnia – trzy dni od daty infekcji.

25 maja 2011 r. moduł szpiegujący stworzył plik ~DQ181.tmp.

Zawierał on informacje o otoczeniu sieciowym początkowo zainfekowanego komputera. Drugiego dnia, 26 maja 2011 r., została zarejestrowana infekcja drugiego komputera w sieci. Stworzono w nim identyfikator pliku ~DF.

Interesujące jest to, że na drugim komputerze został później stworzony kolejny plik ~DF. Miało to miejsce 2 czerwca 2011 r. Data ta pokrywa się z datą kompilacji znanego modułu szpiegującego (1 czerwca 2011). Możliwe, że w okresie 1-2 czerwca autorzy Duqu zainstalowali tę nową wersję modułu na wszystkich zainfekowanych komputerach za pośrednictwem serwera C&C.

Ślady działania tego modułu są widoczne w istnieniu pliku ~DQ4.tmp, który został stworzony 29 czerwca.

Znaleziono trzy pliki typu ~DQ, które zostały utworzone 25 maja, 29 czerwca i 24 sierpnia. Zauważyliśmy, że wszystkie te dni wypadają w środę. Być może jest to zbieg okoliczności, a może nie. Niezależnie od tego, jak jest prawda, możemy określić grupę stojącą za Duqu jako Gang Środowy :)

Trojan ten brał udział w infekcji systemów od 21 kwietnia do końca października 2011 r. Jego pliki konfiguracyjne zostały zainstalowane w ciągu co najmniej 121 dni; reinstalacja głównego modułu miała miejsce jeszcze pod koniec czerwca 2011 r.

Przez cały ten czas osoby atakujące okresowo instalowały nowe moduły, infekowały inne komputery w sieci i zbierały informacje.