Duqu Malware individuell angepasst
Der Wurm mit Rootkit-Funktionalität Duqu (benannt nach den Dateinamen, die mit „~DQ“ beginnen) wurde offenbar individuell auf die Opfer hin entwickelt. Industrieunternehmen in acht Ländern wurden bisher von der Malware heimgesucht.
Kasperky Lab untersuchte Duqu und fand Kompilierungen zurück bis 2007 in der Malware. Das würde bedeuten, dass die Malwarehersteller vier Jahre an Duqu gearbeitet haben. Duqu wurde speziell für den jeweiligen Angriff entwickelt und dürfte vom Code her Stuxnet nahe stehen. Die Schadroutinen sind in einem Word-Dokument eingebettet, das eine bis dato unbekannte Sicherheitslücke ausnutzt (Win32k TrueType font-parsing engine). Die für den Wurm unterhaltenen Kontrollserver, über die ein befallener Rechner ferngesteuert Befehle erhält, traten bisher nicht in Bezug zu Rootkits in Erscheinung.
Angriffe auf bisher unbekannte Sicherheitslücken – auch als Zero-Day-Exploits genannt – sind sehr schwer zu entdecken und eine der ausgeklügeltsten Methoden einer Infizierung. Siehe auch: „7 Ratschläge: Wie überstehe ich einen Zero-Day-Angriff„.
Auf dem Schwarzmarkt werden für einen guten Zero-Day-Exploit bis zu 4.000 US-Dollar bezahlt.
In der Malware wurde auch ein Verweis auf eine US-amerikanische TV-Serie gefunden. In dieser ist ein Mitarbeiter der CSI-Behörden der Polizei ein ritueller Serienkiller (Dexter Television Series). Die TV-Serie würde schwerlich eine Jungendfreigabe nach USK erhalten.
Aussagen von Symantec lassen vermuten, dass der Wurm über SMB-Verbindungen (sog. Windowsfreigaben) weiterverbreitet wird.
Artikel von theregister.co.uk, 11.11.2011: Duqu targeted each victim with unique files and servers