研究人员发现Duqu病毒新变体 可避开杀毒软件

赛门铁克的研究人员本周一通过Twitter表示，他们发现了一个新的Duqu驱动程序。这是负责安装这个恶意软件加密的主程序的组件。赛门铁克首席安全响应经理维克拉姆·萨库尔(Vikram Thakur)表示，这个驱动程序的名称是“mcd9x86.sys”，是在今年2月23日编辑完成的。

Duqu网络间谍软件最初是在2011年10月被发现的。这个间谍软件与Stuxnet工业间谍蠕虫有关，并且有部分代码相同。然而，与专门进行破坏活动的Stuxnet不同，Duqu的主要目标是从全球机构中窃取敏感信息。

萨库尔称，这个新的驱动程序的发现明确表明，Duqu作者正在继续执行其任务。没有大量的公众熟悉Duqu阻止了他们利用这个恶意软件实现其目标。

卡巴斯基实验室全球研究与分析团队的考斯丁·瑞伍(Costin Raiu)认为，当你向Duqu和Stuxnet投入许多资金以创建一个灵活的框架的时候，你就不可能甩掉它并且从头开始。我们一直说Duqu和Stuxnet未来的变体很可能基于同一个平台。但是，它们有足够大的修改和编辑可以让安全软件不能发现它们。的确，现在就是这种情况。

这个新的驱动程序的源代码已经进行了修改和编辑，采用了与以前版本不同的选择方式。这个新的驱动程序还包含不同的子程序，用于加密设置块和装载这个恶意软件的主程序。

瑞伍称，我们在2011年10月曾经看到过这种技术。当时，在公开曝光之后，Duqu驱动程序重新进行了编辑并且与新的加密子程序捆绑在了一起。

瑞伍表示，这个Duqu变体很可能使用一个新的指挥与控制服务器，因为以前所有的已知的指挥与控制服务器都在2011年10月20日关闭了。然而，赛门铁克和卡巴斯基实验室都不知道这个新的服务器的地址，因为他们没有包含这个信息的组件。

瑞伍称，我们没有得到完整的Duqu主程序，仅仅得到了驱动程式的装载程序。这个装载程序不直接与指挥与控制服务器联系，它仅装载以加密方式存储的主程序。

瑞伍表示，即使这个新的服务器是已知的，它也不会允许任何人接近真正的攻击者。Duqu的作者有信心地认为这个恶意软件源头是不可能被发现的。

瑞伍称，目前还不清楚这个新版本的间谍软件是否对机构实施了攻击。但是，这些间谍软件可能与以前的变体是一样的。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]