بدافزار DuQu

نفوذگران Duqu تمامی سرورهای آلوده شده از سال 2009 را پاکسازی کردند! – تاریخ:12/9/1390

بنابه گفته‌ی محققان امنیتی Kaspersky Lab، هکرهایی که از طریق Duqu به سیستم‌ها نفوذ می‌کردند، تمامی 12 سرور آلوده شده را که از تاریخ 20 اکتبر شناسایی شده بودند، تنها دو روز بعد از اعلام عمومی تحلیل‌های Duqu توسط شرکت Symantec به کلی پاک سازی کردند.

براساس گفته‌ی Roel Schouwenberg محقق ارشد Kaspersky اکنون قسمتی از عملیات Duqu بسته شده ولی امکان عملیات جدید و یا تغییر یافته هنوز وجود دارد.

در مقاله‌ای که یکی دیگر از متخصصان Kaspersky چهارشنبه‌ی گذشته منتشر کرده، به این نکته اشاره شده بودکه هکرها در حال خانه تکانی هستند. همچنین ذکر شده که هر کدام از سرورهای آلوده یک نسخه منحصر بفرد از Duqu را دارا بوده و تنها آن نسخه را هدایت و فرماندهی می کردند. این سرور ها در بلژیک، هند، هلند، ویتنام و دیگر کشورها قرار داشتند.

اخیراً هکرها نه تنها سرورهایی را که از سال 2009 آلوده به بدافزار Duqu بودند را پاک سازی کرده ( این درحالی است که این بدافزار به تازگی کشف شده است)، بلکه برای اطمینان از موفقیت آمیز بودن پاکسازی، دوباره آنها را چک کرده‌اند. تاجایی که به گفته‌ی Kaspersky سرورهایی که آنها مورد بررسی قرار داده بودند بطور حرفه‌ای پاکسازی شده بودند.

همچنین آنها دریافتند که حمله کنندگان پس از تسخیر سرورها، نرم‌افزار OpenSSH (نرم‌افزار Open BSD Secure Shell یک ابزار متن باز برای رمزنگاری ترافیک اینترنت) نصب شده روی سرور را به نسخه جدیدتر یعنی از 4.3 به 5.8 ارتقاء داده‌اند. گزارشاتی مبنی بر وجود آسیب‌پذیری از نوع "zero-day" در نسخه قبلی OpenSSH به گوش می‌رسید درحالی که در نهایت Kaspersky این نظریه را رد کرده و به سادگی گفت که این کار یا به دلیل اضافه شدن امکانات جدید به این برنامه در نسخه به روز شده بوده و یا برای اطمینان از اینکه دیگر هکرها نتوانند سرورها را از چنگ آنان در بیاورند.

منبع:

http://news.techworld.com/security/3322217/duqu-hackers-wipe-all-servers-going-back-2009

نامه‌ای از طرف آقای B.Jason - تاریخ:30/8/1390

تا کنون چندین حمله توسط Duqu به شرکت‌ها و اهداف از پیش تعین شده از طریق نامه الکترونیکی صورت گرفته است. در این نوشتار یکی از حملاتی که به شرکتی در سودان صورت گرفته است، شرح داده خواهد شد:

مرحله اول:نفوذ با استفاده از نامه الکترونیکی
بر اساس گزارش‌های منتشر شده، حمله فوق با ارسال نامه از طریق پست الکترونیک آغاز شده است. این حمله علیه هدف مشخص و از پیش انتخاب شده صورت گرفته ولی نام شرکت هدف افشاء نشده است. این شرکت دوبار در تاریخ های17 و 21 آوریل 2011 مورد حمله قرار گرفته است. اولین حمله ناموفق بوده زیرا e-Mail ارسالی یک هرزنامه محسوب شده و به پوشه‌ی Spam منتقل شده است. حمله دوم، چهار روز بعد تکرار شده و برای جلوگیری از حذف شدن مجدد، موضوع نامه اصلاح شده است.

متن ایمیل فرستاده شده از طرف حمله کنندگان

نامه‌ها از طرف شخصی که خود را Mr B.Jason معرفی کرده بود، فرستاده شده و در هر دو نامه از نام شرکت یکسانی استفاده شده است. در ضمن هر دو بار ایمیل از جانب یک شخص با آدرس IP یکسان و از شهر سئول پایتخت کره جنوبی فرستاده شده که به احتمال زیاد این کامپیوتر از قبل به نوعی بدافزار آلوده شده و مخفیانه از سیستم وی سوءاستفاده شده است.

شواهد نشان می‌دهد که حمله دوم به نتیجه رسیده است و مخاطب فایل Doc که حاوی کد سوء‌استفاده از آسیب‌پذیری بوده را باز کرده و بدافزار بر روی سیستم وی نصب شده است.

متن فایل DOC فرستاده شده همراه ایمیل

در این حمله، حمله‌کننده با احتیاط رفتار کرده است. پس از باز شدن نامه توسط مخاطب، بدافزار فعال شده و در حافظه می‌نشیند اما هیچ کاری انجام نمی‌دهد و منتظر بیکار شدن سیستم می‌ماند. در این مرحله فایل و نرم‌افزار Word هر دو می‌توانند بسته شوند.

در مورد این سیستم، حدود 10 دقیقه طول کشیده است تا سیستم به حالت بیکار (عدم استفاده از موس و صفحه کلید) برود و سپس حامل بدافزار وارد عمل شده است.

نحوه فعال شدن بدافزار تا این مرحله در شکل زیر به تصویر کشیده شده است:

کد پوسته بدافزار حاوی یک قلم ویندوز به نام ""Dexter Regular بوده که نام آن از نام سریال تلویزیونی Dexter گرفته شده است. این سریال از سال 2006 با موضوع یک قاتل سریالی که خود در نیروی پلیس کار می‌کرده، ساخته و پخش شده است. حتی نام شرکت سازنده سریال نیز در متن قلم آمده است:

پوستر سریال Dexter محصول کمپانی Showtime

پس از خوانده شدن قلم مجعول توسط win32k.sys، این بدافزار از آسیب‌پذیری موجود در ویندوز سوء استفاده کرده و درایور خود را در کرنل سیستم عامل قرار می‌دهد. تاریخ درایور فوق‌الذکر در دو نسخه مختلف بدافزار با یکدیگر 4 ماه تفاوت دارند.

درایور فوق در services.exe بارگذاری شده و کد اصلی را اجرا می‌کند. در این مرحله، کلید زیر به رجیستری ویندوز افزوده می‌شود:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\"CF1D"

در مرحله بعد، درایورها و فایل تنظیمات و ... بدافزار از درون بدنه بدافزار استخراج شده و اگر تاریخ سیستم در بازه خاصی قرار داشت، بر روی سیستم نصب می‌شود. این بازه در دو نسخه بدافزار با یکدیگر کاملاً متفاوت می‌باشند. سپس بخش PNF (DLL) بارگذاری شده و کنترل در اختیار بدافزار قرار می‌گیرد. همچنین بدافزار فایل تنظیماتی دارد که حاوی تاریخ آلوده‌سازی و مدت زمان عملیات بدافزار در سیستم است. این مدت زمان به‌طور پیش فرض 30 روز بوده ولی مرکز کنترل‌کننده بدافزار قادر به تغییر آن است.

همانطور که قبلاً اشاره شده است، این بدافزار از مجموعه فایل‌های منحصربه‌فردی در هر حمله استفاده کرده است. مهم‌ترین تفاوت در نسخه‌های مختلف بدافزار، ماژول اصلی بدافزار است که تاریخ ساخت 17 آوریل دارد (یعنی همان روزی که اولین حمله صورت گرفته بود). این بدان معناست که حمله‌کنندگان برای هر قربانی خاص یک مجموعه فایل متفاوت می‌سازند و این کار دقیقاً قبل از هر حمله صورت می‌گیرد.

در زیر جدولی از فایل های شناسایی شده بدافزار آورده شده‌ است:

وجود تفاوت در اندازه فایل DLL اصلی (که در کامپیوترهای متفاوت و در یک حمله یافت شده‌اند) را می‌توان این‌گونه توضیح داد که بدافزار دائماً در تعامل با سرورهای فرماندهی بوده و با فشرده‌سازی‌هایی که در منابع PNF DLL صورت گرفته، در حال صورت دادن حملات بعدی به کامپیوترهای دیگر داخل شبکه می‌باشد.

سرورهای فرماندهی استفاده شده در این حمله نیز با حمله‌های قبلی در کشورهای هند و بلژیک متفاوت بوده و در کشور دیگری قرار داشتند.

مرحله 2:جمع آوری اطلاعات:
در جریان تحقیقات مشخص شد که در حمله صورت گرفته به شرکت فوق‌الذکر، دو کامپیوتر توسط Duqu آلوده شده‌اند. یکی از آن‌ها منبع آلودگی بوده و در تاریخ 21 آوریل و دومی در اواخر ماه مِی از طرق شبکه محلی آلوده شده است. بعد از آلوده شدن سیستم‌‌ها و برقراری ارتباط با مرکز فرماندهی، یک ماژول دیگر از نوع Keylogger بارگذاری و نصب ‌شده که می‌توانست عملیات جاسوسی مانند جمع‌آوری اطلاعات سیستم، عکس گرفتن از صفحه ویندوز، جستجوی فایل‌ها، دزدیدن کلمه‌های عبور و ... را انجام دهد.

در هر دو کامپیوتر ردپایی از عملیات ماژول جاسوس در فایل‌هایی با نام ~DFxxxxx.tmp ( به‌طور مثال ~DF1EF83.tmp) و ~DQx.tmp (به‌طور مثال ~DQ2C6.tmp) یافت شده است که قالب نام آن‌ها تقریباً شبیه به فایل‌های موقت ساخته شده توسط Microsoft Word است با این تفاوت که در آخر یک حرف بیشتر دارند.

فایل‌های ~DF حاوی شناسه‌ی فشرده شده‌ی سیستم آلوده بوده که با خط ABh91AY&SY آغاز می‌شوند.

فایل‌های ~DQ حاوی اطلاعات جمع آوری شده (فهرست پروسه‌ها، تصاویر گرفته شده و اطلاعات برنامه‌ها) به‌صورت فشرده شده بوده و دارای همان علامت آغاز (تنها با یک حرف متفاوت:AEh91AY&SY) می‌باشند.
تا این زمان مشخص نیست که فایل‌های ~DF توسط کدام ماژول ساخته می‌شوند و هدف دقیق آن‌ها چیست (فایل‌های ~DQ توسط ماژول شناخته شده‌ی جاسوس ساخته شده‌ بود). در کامپیوتر اول، تاریخ ایجاد این فایل‌ها 27 آوریل یعنی سه روز بعد از آغاز آلودگی بوده است. در تاریخ 25 ماه مِی، ماژول جاسوس فایل ~DQ181.tmp را ایجاد کرده است.

این فایل حاوی اطلاعاتی درباره‌ی شبکه کامپیوتر آلوده شده است. در روز بعد یعنی 26 مِی، آلوده شدن دومین کامپیوتر در شبکه در این فایل ثبت شده و فایل ~DF روی کامپیوتر دوم ساخته شده است.

جالب اینکه بعداً فایل ~DF دیگری در تاریخ 2 ژوئن بر روی کامپیوتر دوم ساخته شده که این تاریخ با تاریخ اتمام کار ماژول جاسوس همزمان است (یعنی 1 ژوئن ). این امکان وجود دارد که در این بازه زمانی 1-2 ژوئن، سازندگان Duqu یک نسخه‌ی جدید از ماژول را از طریق سرور کنترل، بر روی همه‌ی کامپیوترهای آلوده نصب کرده باشند. ردپای کار این ماژول در فایل ~DQ4.tmp که در 29 ژوئن ایجاد شده، وجود دارد.

در نهایت سه فایل ~DQ با تاریخ‌های ایجاد 25 مِی، 29 ژوئن و 24 آگوست پیدا شده است که هر سه تاریخ روز چهارشنبه است. اگر این موضوع اتفاقی نباشد، نام گروهی که پشت Duqu است را می‌توان "دار و دسته‌ی چهارشنبه" گذاشت.

این بدافزار از تاریخ 21 آوریل تا دقیقاً آخر اکتبر سال 2011 بر روی سیستم آلوده وجود داشته و فایل‌های تنظیماتی آن بیش از 121 روز نصب بوده‌اند. نصب دوباره ماژول اصلی در پایان ژوئن اتفاق افتاده است.

در طول این زمان حمله کنندگان به‌طور متناوب ماژول‌های جدیدی نصب کرده و با آلوده کردن دیگر کامپیوترهای شبکه، به جمع‌آوری اطلاعات می‌پرداختند.

خلاصه مشاهدات:
• برای هر قربانی، مجموعه فایل‌های حمله جداگانه ایجاد شده است.
• هر مجموعه فایل، توسط سرور فرماندهی جداگانه‌ای هدایت می‌شود.
• آغاز حمله از طریق ایمیل و به‌واسطه فایل پیوست DOC آلوده بوده است.
• نامه‌ها از طرف صندوق‌های ناشناس و سیستم‌های تسخیر شده فرستاده شده‌اند.
• حداقل یک آدرس ایمیل شناخته شده با عنوان bjason1xxxx@xxxx.com
وجود دارد.
• برای هر قربانی یک فایل Doc جداگانه فراهم شده است.
• وجود آسیب‌پذیری در سیستم عامل ویندوز در هنگام پردازش قلم‌ها مورد سوء‌استفاده قرار گرفته است.
• پس از نفوذ به سیستم، حمله‌کننده ماژول‌های بیشتری را نصب کرده و سیستم‌های مجاور را نیز آلوده می‌سازد.
• وجود فایل‌های ~DF.tmp و ~DQ.tmp بر روی یک سیستم به وضوح یک آلوده‌گی به Duqu را مشخص می‌کند.

منبع:

www.securelist.com/en/blog/208193243/The_Duqu_Saga_Continues_Enter_Mr_B_Jason_and_TVs_Dexter

راز و رمزهای Duqu – تاریخ:25/8/1390

متخصصان Kaspersky در چندین مقاله به نام "راز و رمزهای Duqu"، این بدافزار را مورد تحلیل و بررسی قرار داده اند. در این مقاله‌ها اشاره شده است که Duqu دو ماژول اصلی دارد. ماژول اصلی که از نوع بدافزار جاسوسی بوده و شبیه به Stuxnet عمل می‌کند، شامل سه کامپوننت است:

1. درایوری که DLL را درون پردازه تزریق می‌کند.

2. یک DLL شامل ماژول‌های دیگر که با سرور فرماندهی ارتباط برقرار می‌کند.

3. یک فایل حاوی تنظیمات

ماژول دوم یک keylogger است و هر آنچه کاربر تایپ کند را در فایل tmp.DQ ذخیره کرده و سپس از طریق اینترنت به سرورهای فرماندهی خود ارسال می کند.

در این مقالات به تفصیل در مورد نحوه عملکرد این بدافزار صحبت شده است:

بخش اول:

www.securelist.com/en/blog/208193182/The_Mystery_of_Duqu_Part_One

بخش دوم:

www.securelist.com/en/blog/208193197/The_Mystery_of_Duqu_Part_Two

بخش سوم:

www.securelist.com/en/blog/208193206/The_Mystery_of_Duqu_Part_Three

بخش آخر:

www.securelist.com/en/blog/606/The_Mystery_of_Duqu_Part_Five

بدافزار Duqu قربانیان خود را با فایل‌ها و سرورهای منحصربه‌فرد مورد هدف قرار می‌دهد - تاریخ:21/8/1390

براساس نتایج تحقیقی که اخیراً منتشر شده است، Duqu در هر بار حمله، از فایل‌ها، سرورهای فرماندهی و بدافزارهای جاسازی شده درون اسناد Microsoft Word متفاوتی که مختص هر قربانی تهیه شده‌اند، استفاده می‌کند.

تاریخ موجود در دو درایور مورد استفاده در یکی از حمله‌ها، نشان می‌دهد که تاریخ تکمیل آن‌ها مربوط به سال 2007 و 2008 بوده است. بر اساس گفته‌ی Alexander Gostev متخصص آزمایشگاه‌های Kaspersky و نویسنده گزارش، اگر تاریخ‌ها حقیقی باشند، طراحان Duqu چهار سال اخیر را صرف طراحی آن کرده‌اند.

نسخه‌ی Duqu بررسی شده توسط تیم رسیدگی به حوادث کامپیوتری کشور سودان، همانند سایر نسخه‌ها در یک سند Microsoft Word جاسازی شده و همچنین از آسیب‌پذیری شناخته شده در هسته ویندوز سوء‌استفاده کرده است.

براساس تحقیقات Kaspersky، اولین تلاش این بدافزار برای آلوده‌سازی موفقیت آمیز نبوده است چرا که نامه الکترونیکی که حاوی سند آلوده‌ی word بود، در پوشه‌ی spam قرار گرفته است. در تاریخ 21 مِی یعنی چهار روز بعد از ارسال اولین نامه الکترونیکی، حمله کنندگان با کمی تغییر محتوای نامه دوباره اقدام به حمله می‌کنند. عنوان نامه و همچنین عنوان فایل ضمیمه شده اختصاصاً شرکت مورد هدف را خطاب قرار داده بودند و جالب اینکه تاریخ فایل DLL که هسته اصلی بدافزار بود، مربوط به 17 مِی می‌شد، یعنی همان روزی که اولین بار برای آلوده سازی هدف تلاش شده بود.

هنگامی که دریافت کننده‌ی دومین نامه، فایل word درون آن را باز کرده، حمله کنندگان کنترل کامپیوتر او را به‌دست آورده‌اند. آنان در حدود 10 دقیقه بدون هیچ گونه عملی منتظر مانده‌ تا سیستم کاربر به حالت بی‌کار (Idle) برود و بعد ابزار جاسوسی را نصب کرده‌اند. این کامپیوتر آلوده از سرور فرماندهی‌ استفاده کرده که تا کنون در مورد دیگری به‌کار نرفته است. تابه‌حال حداقل چهار سرور مجزا برای ارسال و دریافت اطلاعات مختص بدافزار Duqu شناسایی شده که هرکدام فقط برای یک هدف استفاده شده‌اند. در اواخر ماه مِی، دومین کامپیوتری که توسط Kaspersky بررسی شد، از طریق شبکه محلی آلوده شده بود.

شرکت Symantec مدعی است که این بدافزار می‌تواند از طریق پروتکل SMB با استفاده از فایل‌های به اشتراک گذاشته شده در شبکه از ماشینی به ماشین دیگر سرایت کند.

علاوه بر تمام مهارت و مراقبتی که توسعه‌دهندگان به‌کار گرفته شده است، یک شوخی هم در Duqu گنجانده شده است. در کد پوسته (shellcode) که در یک قلم صوری به نام "Dexter Regular" گنجانده شده، این متن وجود دارد:

این پیغام مخفی، اشاره‌ای مشخص به سریال تلویزیونی Dexter است. این مجموعه داستان، قاتلی سریالی را به تصویر می‌کشید که در اداره پلیس میامی به عنوان بازپرس صحنه جرم مشغول به کار بود. بنابر نوشته‌ی Gostev، این یک بلوف از طرف نویسندگان Duqu بوده است.

منبع:

http://packetstormsecurity.org/news/view/20165/Duqu-Targeted-Each-Victim-With-Unique-Files-And-Servers.html

بدافزار Duqu توسط تیمی متخصص با حمایت مالی ساخته شده است - تاریخ:21/8/1390

به گفته‌ی متخصصان امنیت، بدافزار Duqu دارای قابلیت‌های فراوان و پیشرفته‌ای است و تنها می‌تواند توسط یک تیم متخصص که تمام وقت در حال کار هستند ساخته شده باشد.

به عنوان مثال، تحلیل انجام شده توسط محققان NSS نشان داده است که این بدافزار با استفاده از روش‌های steganographic اقدام به پنهان کردن اطلاعات دزدیده شده نموده و پس از پنهان نمودن فایل‌های رمز شده درون فایل‌های تصویری عکس، آن‌ها را برای سرورهای فرماندهی خود ارسال می‌نماید.

همچنین بدافزار Duqu اولین rootkit شناخته شده‌ی دنیاست که به صورت مادولار با قابلیت اضافه کردن افزونه (plugin) به آن نوشته شده و این امکان را به حمله‌کنندگان می‌دهد که با کمترین تلاش، کارهایی‌هایی را به آن اضافه و یا کم کنند. در نتیجه شناسایی آن بسیار دشوار شده است. نتیجه‌ای که از تحقیقات و تحلیل‌ها به‌دست می‌آید این است که Duqu توسط یک تیم سازمان یافته و خبره طراحی شده است.

پیچیدگی اعمال شده در سیستم (درایور یکپارچه به علاوه معماری سیستمی عالی) نیز غیر ممکن بودن فرضیه طراحی شدن بدافزار توسط یک نفر یا یک تیم آماتور بدون برنامه‌ریزی و صرف زمان زیاد را نشان می‌دهد.

منبع:

http://www.theregister.co.uk/2011/11/09/duqu_analysis

ارائه ابزاری متن باز برای شناسایی بدافزار Duqu توسط آزمایشگاه‌ CrySyS - تاریخ 21/8/1390

بنابه گفته متخصصان آزمایشگاه‌ ،Crysys این ابزار می‌تواند سیستم‌های آلوده شده به بدافزار Duqu را در شبکه شناسایی کند. این ابزار می‌تواند با استفاده از روش‌های شناسایی ساده و متداول، ردپای بدافزار را حتی بعد از حذف شدن آن از سیستم پیدا کند.

اساس کار این ابزار، پیدا کردن هرگونه ناهنجاری در سیستم است (مانند اضافه شدن فایل‌های مشکوک به سیستم یا وجود علایمی مانند آن‌چه که در سیستم‌های آلوده به بدافزار Duqu مشاهده شده است). البته واضح است که نتایج ارائه شده توسط این ابزار نیز مانند سایر ابزار کاملاً دقیق نبوده و ممکن است به اشتباه یک سیستم سالم را آلوده معرفی کند. از این‌رو بایستی این ابزار توسط افراد متخصص به‌کار گرفته شود.

این ابزار به صورت متن باز تهیه شده است و مراکز می‌توانند برای اطمینان از عملکرد آن، ابتدا کدهای آن را تحلیل نموده و سپس به کار گیرند.

منبع:

http://www.crysys.hu/duqudetector.html

ارائه ابزاری برای شناسایی کلیه درایورهای Duqu تاریخ:18/8/1390

آزمایشگاه‌های NSS ابزاری متن‌باز ارائه کرده‌اند که می‌تواند کلیه درایورهای بدافزار Duqu را با استفاده از تکنیک‌های پیشرفته تشخیص الگو شناسایی کند.
بر اساس گفته سازندگان، این ابزار کلیه درایورهای بدافزار را در صورت پیروی از الگوی موجود شناسایی می‌کند ولی در صورتی که انتشار دهندگان ویروس الگو را تغییر دهند، دیگر این ابزار قادر به شناسایی بدافزار نخواهد بود.

انتشار بسته اصلاحیه برای آسیب‌پذیری مورد استفاده توسط بدافزار Duqu - تاریخ:14/8/1390

شرکت مایکروسافت موقتاً یک بسته اصلاح کننده برای آسیب‌پذیری هسته ویندوز صادر کرده است. این آسیب‌پذیری توسط بدافزار Duqu مورد سوء‌استفاده قرار می‌گیرد. سخنگوی این شرکت اذعان داشته که بسته به روز رسانی ماهانه‌ای که سه‌شنبه 8 نوامبر (17 آبان 1390) انتشار می‌یابد، حاوی اصلاحیه برای رفع کامل این آسیب‌پذیری نخواهد بود.

آقای جری برایانت مدیر گروه امنیتی مایکروسافت در یک راه حل امنیتی اعلام کرده است که می‌توان این اصلاحیه را تنها با یک کلیک در تمامی نسخه‌های ویندوز اعمال نمود.

وی افزود که برای امنیت بیشتر کاربران، اطلاعات دقیقی راجع به نحوه سوء‌استفاده از این آسیب‌پذیری به همکارانمان در قسمت Microsoft Active Protections Program ارائه کرده‌ایم تا نرم‌افزار‌های امنیتی بتوانند آن را شناسایی کنند.

این بدان معناست که در طی چندین ساعت آینده نرم‌افزار‌های آنتی‌ویروس بسته‌های به‌روز رسانی جدیدی منتشر کرده که سوء استفاده از این آسیب‌پذیری را شناسایی و محدود می‌کنند. در نتیجه به کاربران پیشنهاد می‌شود که آنتی‌ویروس‌های خود را به روز کنند.

آسیب‌پذیری Win32k در موتور تحلیل‌گر قلم‌های TrueType در Windows در صورت سوء استفاده می‌تواند به حمله‌کنندگان اجازه دهد کد‍‌های مخرب را در هسته ویندوز اجرا کرده و پس از نصب برنامه‌های مورد نظر، اطلاعات را مشاهده کرده، تغییر داده و حتی پاک کنند. همچنین می‌توانند یک کاربر جدید با کلیه‌ی مجوزها در سیستم ایجاد کنند.

نقشه وضعیت فعلی انتشار بدافزار Duqu در دنیا:

استفاده بدافزار Duqu از یک آسیب‌پذیری Zero-Day در هسته ویندوز (9/8/1390)

بدافزار Duqu که شبیه به Stuxnet عمل می‌کند، با استفاده از یک آسیب‌پذیری zero-day در هسته ویندوز و از طریق پنهان شدن در فایل‌های .doc نرم افزار Microsoft Word، به یک کامپیوتر در یک سازمان حمله کرده و پس از مستقر شدن، می‌تواند توسط حمله کنندگان کنترل شده و به سرعت دیگر کامپیوترها را هم آلوده کند.

در حال حاضر این آسیب‌پذیری به شرکت Microsoft گزارش شده ولی تا کنون هیچ‌گونه بسته اصلاح کننده و یا راهنمای امنیتی‌ای برای کاربران Windows منتشر نشده است.

شواهدی مبنی بر کنترل حمله کنندگان Duqu برای انتشار آن از طریق پروتکلSMB (Server Message Block) - که مربوط به اشتراک فایل ها و پرینتر در شبکه می‌باشد - وجود دارد. جالب اینجاست که اگر کامپیوتری که به تازگی آلوده شده ارتباط با اینترنت و بالطبع با سرور کنترل بد افزار نداشته باشد، می تواند با استفاده از پروتکل‌های اشتراک فایل و از طریق کامپیوترهایی که آن‌ها به اینترنت متصل هستند، خود را به اینترنت و سرور فرمانده متصل کند. در نتیجه Duqu پلی میان سرور‌های داخل شبکه و سرور فرماندهی خود ایجاد کرده و این امکان را برای حمله کنندگان ایجاد می‌کند که با کمک کامپیوتر‌های بیرون از مناطق امن که عامل Duqu محسوب می شوند به قربانیان در داخل شبکه‌های امن دسترسی پیدا کنند.

با وجود اینکه هنوز تعداد آلودگی‌های تایید شده‌ی Duqu محدود است، این بدافزار می‌تواند با استفاده از تکنیک‌های ذکر شده، بسیار سریع انتشار پیدا کند. تا این زمان آلودگی به بد افزار Duqu در شش سازمان در هشت کشور جهان تایید شده است.

شواهدی دال بر فعال شدن مجدد کرم Stuxnet - تاریخ:2/8/1390

مجدداً شواهدی دال بر فعال شدن مجدد کرم Stuxnet مشاهده شده است. بر اساس گفته‌ی محققان، خطر جدید که Duqu نام دارد، پیش درآمدی برای انجام حمله‌ای شبیه به Stuxnet است. انتخاب نام این بدافزار بر مبنای آن صورت گرفته است که فایل‌هایی با پسوند .DQ ایجاد می‌کند.

این بدافزار از گواهی دیجیتالی دزدیده شده از شرکت Symantec که مربوط به یکی از مشتریان این شرکت در کشور تایوان بوده سوء‌استفاده می‌نماید که این گواهی هم‌اکنون توسط شرکت Symantec باطل شده است. همچنین این بدافزار خود به خود پس از 36 روز از روی سیستم آلوده حذف می‌شود و به نظر می‌رسد طوری طراحی شده که از نسخه‌های قبلی مخفیانه‌تر عمل کند.

این بدافزار توسط شرکت امنیتی Symantec اعلام عمومی شده است. این شرکت بر اساس نمونه‌هایی که از کامپیوترهای واقع در اروپا جمع‌آوری کرده، به وجود بدافزار پی برده است.

بررسی‌های اولیه نشان داده که قسمت‌هایی از Duqu مشابه Stuxnet است که می‌تواند بیانگر آن باشد که احتمالاً توسط نویسندگان آن و یا افرادی که به کد منبع Stuxnet دسترسی داشته‌اند، نوشته شده است.

برخلاف Stuxnet بدافزار Duqu حاوی هیچ کدی مرتبط با سیستم‌های کنترل صنعتی نیست (بنابر گفته وبلاگ شرکت Symantec). به عبارت دیگر Duqu برای حمله مستقیم به سیستم‌های صنعتی طراحی نشده و در واقع بیشتر برای جمع‌آوری اطلاعات برای حمله آینده نوشته شده است. بر اساس یافته‌های Symantec، تعدادی از سازنده‌های سیستم‌های کنترل صنعتی آلوده به این بدافزار بوده‌اند.

آقای Greg Day مسئول بخش تکنولوژی شرکت Symantec گفته که این کد بسیار ماهرانه و هوشمندانه عمل می‌کند و قطعاً بی‌منظور ساخته نشده است، بلکه از تکنیک‌های خاص bleeding-edge استفاده کرده و به نظر می‌رسد برای مقاصد ناشناخته خاصی طراحی شده است. او همچنین گفته که بیشتر از یک نوع از بدافزار Duqu وجود دارد و به نظر می رسد سازندگان بدافزار روز به روز در حال ارتقاء آن هستند.