Denne trojaneren bør du se opp for

Denne trojaneren bør du se opp for

Duqu likner mistenkelig på supertrojaneren Stuxnet. Dell Secureworks har analysert det.

Trojaneren Duqu har fått mye oppmerksomhet i media den siste tiden på grunn av likheten til Stuxnet-ormen som herjet rundt i det digitale rom i 2010.

Les mer:

Stuxnet-arvtaker sanker info

Nå har Dell Secureworks Counter Threat Unit (CTU) analysert den nye skadevaren.

Hva er relasjonen til Stuxnet?

Mange har spekulert at Duqu er er ny versjon av Stuxnet som herjet på nettet i fjor, og at Duqu er utviklet av de samme folka. Årsaken er flere likheter i metode og eksekvering.

Både Duqu og Stuxnet bruker en kernel-driver for å dekryptere og laste inn krypterte DLL-er (dynamic linked libraries). Kernel driveren virker som en injektor som laste disse DLL-ene inn i en spesiell prosess som kjører på pc-en. Dette er riktignok ikke unikt for Duqu og Stuxnet, men har også blitt observert i annen skadeware.

Krypterte DLL-er er lagret med filtype .PNF. Dette er er filtypen Windows bruker for visse informasjonsfiler før kompilering.

Kerneldriveren for både Duqu og Stuxnet bruker mange av de samme teknikkene for kryptering og for å leve under radaren på datamaskinen, inkludert bruken av rootkits for å skjule filer. Denne metoden er også brukt av annen skadevare, og er ikke unik for Duqu og Stuxnet.

En annen likhet mellom de to ligger i krypterings-sertifikatet som er brukt for å signere skadevaren. I en Duqu-variant er skadevaren signert med et sertifikat fra C-Media Electronics Incorporation. I en annen variant hevdet skadevaren å være driver-programvare fra JMicron Technology Company - det samme selskapet hvis digitale sertifikat ble brukt til å signere Stuxnet-programmer.

Det er viktig å påpeke at utviklerene av Duqu (og Stuxnet, for den saks skyld) kan ha fått fatt i sertifikatet fra ulike steder. Det er med andre ord umulig å bevise at Duqu og Stuxnet har samme opphav, basert på hvilke digitale sertifikater som er brukt.

Programmene er svært komplekse, og har mange komponenter. Fra et programvareperspektiv ligger likhetene mellom de to i metoden som brukes for å laste inn skadevaren i Windows-kjernen. Nyttelasten i de to er svært forskjellige, og tydelig urelaterte, så foreløpig er teorien om at programmene deler opphav basert på omstendelige beviser og spekulasjoner.

Hvordan spres Duqu?

Symantec har nylig bekreftet at det er et hittil ukjent nulldags-hull i Microsoft Windows som brukes til å spre Duqu-trojaneren.

Skadevaren benytter et spesielt utformet Word-dokument som gjør at angriperen kan installere grunnlaget for Duqu-trojaneren. Samtidig advarer Symantec at dette slettes ikke er den eneste måten trojaneren kan spres på.

Selskapet har nemlig også avdekket at Duqu kan motta kommandoer fra angriperene direkte eller via en peer-to-peer kommunikasjonsmetode, og at trojaneren på denne måten kan spre seg i nettverket.

Hvordan vet jeg om jeg er infisert?

Antivirus-programmer arbeider med metoder for å oppdage og fjerne Duqu-trojaneren. Men arbeidet er ikke ferdigstilt, og utvikleren kan fortsatt gjøre endringer i skadevaren som ikke oppdages av metodene som nå er implementert av antivirus-selskapene.

Men alt er ikke tapt, for det er flere måter å oppdage Duqu på. Blant annet oppretter en keylogger, som er en del av Duqu-trojaneren, en rekke midlertidige filer i Windows temp-mappe. Filene begynner med "~DQ", og det er dette prefikset som også har gitt navn til trojaneren. Det er med andre ord muligheter for at en infisert pc har slike filer i temp-mappen på pc-en.

To andre metoder for å oppdage Duqu er for avanserte brukere. Skadevaren bruker flere protokoller for å kommunisere med en sentral kommando-server. En analyse av Dell Secureworks viser at ip-adressen 206.183.111.97 kontaktes av skadevaren, og trafikken går via TCP portene 80 og 443.

Sistnevnte skiller seg ut, fordi trafikken Duqu sender og mottar på denne porten ikke er kryptert - noe som vanlig trafikk på TCP port 443 skal være. Slik trafikk er tidligere kjent fra annen skadevare, og er forholdsvis enkel å oppdage for nettverksansvarlige.

I tillegg kan Duqu forsøke å gjøre DNS-oppslag mot domenet kasperskychk.dyndns.org. Dette domenet er ikke brukt for kommunikasjon, og skadevaren bruker adressen for å gjøre en enkel nett-sjekk.

Hvordan kan jeg beskytte meg?

Det er flere enkle steg man kan ta for å beskytte seg mot trusler som Duqu.

  • Hold pc-er og digitale enheter oppdatert.
  • Bruk påloggingskontroll for å hindre at uautoriserte enheter kobler seg på nettet.
  • Ikke åpne vedlegg fra ukjente personer, og vær obs på vedlegg generelt. Er du usikker, skann dokumentet før det åpnes.
  • Sørg for at nettverksansvarlig er informert om trafikk til og fra kjente Duqu-servere, og er var på ukryptert kommunikasjon på TCP port 443.

Duqu er en trojaner som er sammensatt av flere forskjellige filer og komponenter. Hovedlasten består av en RAT (remote access trojan) som lar en angriper samle informasjon fra infiserte systemer og eksekvere flere programmer.

En annen versjon av Duqu logger i tillegg tastetrykk. Det er denne versjonen som legger igjen "~DQ"-filer i Windows temp-mappe.