ప్రోహోస్టర్ > బ్లాగ్ > ఇంటర్నెట్ వార్తలు > Duqu ఒక హానికరమైన మాట్రియోష్కా

Duqu ఒక హానికరమైన మాట్రియోష్కా

పరిచయం

సెప్టెంబరు 1, 2011న, హంగరీ నుండి వైరస్‌టోటల్ వెబ్‌సైట్‌కి ~DN1.tmp పేరుతో ఫైల్ పంపబడింది. ఆ సమయంలో, ఫైల్ కేవలం రెండు యాంటీవైరస్ ఇంజిన్‌ల ద్వారా హానికరమైనదిగా గుర్తించబడింది - BitDefender మరియు AVIRA. డుకు కథ ఇలా మొదలైంది. మున్ముందు చూస్తే, ఈ ఫైల్‌కు Duqu మాల్వేర్ కుటుంబం పేరు పెట్టబడిందని చెప్పాలి. అయితే, ఈ ఫైల్ కీలాగర్ ఫంక్షన్‌లతో పూర్తిగా స్వతంత్ర గూఢచారి మాడ్యూల్, బహుశా హానికరమైన డ్రాపర్ డౌన్‌లోడ్ సహాయంతో ఇన్‌స్టాల్ చేయబడి ఉంటుంది మరియు దాని ఆపరేషన్ సమయంలో Duqu మాల్వేర్ ద్వారా డౌన్‌లోడ్ చేయబడిన “పేలోడ్”గా మాత్రమే పరిగణించబడుతుంది, కానీ సమగ్రమైనది కాదు. Duqu యొక్క భాగం (మాడ్యూల్) . Duqu భాగాలలో ఒకటి సెప్టెంబర్ 9న మాత్రమే Virustotal సేవకు పంపబడింది. C-మీడియా నుండి డిజిటల్ సంతకంతో సంతకం చేయబడిన డ్రైవర్ దీని ప్రత్యేక లక్షణం. కొంతమంది నిపుణులు వెంటనే మాల్వేర్ యొక్క మరొక ప్రసిద్ధ ఉదాహరణతో సారూప్యతలను గీయడం ప్రారంభించారు - Stuxnet, ఇది సంతకం చేసిన డ్రైవర్లను కూడా ఉపయోగించింది. ప్రపంచవ్యాప్తంగా వివిధ యాంటీవైరస్ కంపెనీలు గుర్తించిన Duqu ద్వారా సోకిన మొత్తం కంప్యూటర్ల సంఖ్య పదుల సంఖ్యలో ఉంది. చాలా కంపెనీలు ఇరాన్ మళ్లీ ప్రధాన లక్ష్యం అని వాదించాయి, అయితే అంటువ్యాధుల పంపిణీ యొక్క భౌగోళిక శాస్త్రం ప్రకారం, ఇది ఖచ్చితంగా చెప్పలేము.
Duqu ఒక హానికరమైన మాట్రియోష్కా
ఈ సందర్భంలో, ఒక కొత్త వింత పదంతో మరొక కంపెనీ గురించి మాత్రమే నమ్మకంగా మాట్లాడాలి APT (అధునాతన నిరంతర ముప్పు).

వ్యవస్థలో అమలు విధానం

హంగేరియన్ ఆర్గనైజేషన్ CrySyS (హంగేరియన్ లాబొరేటరీ ఆఫ్ క్రిప్టోగ్రఫీ అండ్ సిస్టమ్ సెక్యూరిటీ ఆఫ్ బుడాపెస్ట్ యూనివర్శిటీ ఆఫ్ టెక్నాలజీ అండ్ ఎకనామిక్స్) నుండి నిపుణులచే నిర్వహించబడిన పరిశోధనలో సిస్టమ్ ఇన్‌ఫెక్షన్ సోకిన ఇన్‌స్టాలర్ (డ్రాపర్) కనుగొనబడింది. ఇది TTF ఫాంట్‌లను రెండరింగ్ చేయడానికి బాధ్యత వహించే win32k.sys డ్రైవర్ (MS11-087, నవంబర్ 13, 2011న మైక్రోసాఫ్ట్ వివరించిన) దుర్బలత్వంతో కూడిన మైక్రోసాఫ్ట్ వర్డ్ ఫైల్. దోపిడీ యొక్క షెల్‌కోడ్ 'డెక్స్టర్ రెగ్యులర్' అనే డాక్యుమెంట్‌లో పొందుపరిచిన ఫాంట్‌ను ఉపయోగిస్తుంది మరియు షోటైమ్ ఇంక్. ఫాంట్ సృష్టికర్తగా ఘనత పొందింది. మీరు చూడగలిగినట్లుగా, డుకు యొక్క సృష్టికర్తలు హాస్యం యొక్క భావానికి పరాయివారు కాదు: డెక్స్టర్ ఒక సీరియల్ కిల్లర్, షోటైమ్ ద్వారా చిత్రీకరించబడిన అదే పేరుతో టెలివిజన్ సిరీస్ యొక్క హీరో. డెక్స్టర్ నేరస్థులను (వీలైతే) మాత్రమే చంపుతాడు, అంటే చట్టం పేరుతో చట్టాన్ని ఉల్లంఘిస్తాడు. బహుశా, ఈ విధంగా, దుక్కు డెవలపర్లు మంచి ప్రయోజనాల కోసం చట్టవిరుద్ధమైన కార్యకలాపాలకు పాల్పడుతున్నారని వ్యంగ్యంగా ఉన్నారు. ఇ-మెయిల్ ద్వారా లేఖలు పంపడం ఉద్దేశపూర్వకంగా జరిగింది. పంపడం కోసం, చాలా మటుకు, రాజీపడిన (హ్యాక్ చేయబడిన) కంప్యూటర్లు ట్రాకింగ్ కష్టతరం చేయడానికి మధ్యవర్తిగా ఉపయోగించబడ్డాయి.
వర్డ్ డాక్యుమెంట్ ఈ క్రింది భాగాలను కలిగి ఉంది:

  • టెక్స్ట్ కంటెంట్;
  • ఎంబెడెడ్ ఫాంట్;
  • సిల్క్‌కోడ్‌ను దోపిడీ చేయండి;
  • డ్రైవర్;
  • ఇన్‌స్టాలర్ (DLL).

విజయవంతంగా అమలు చేయబడిన సందర్భంలో, దోపిడీ యొక్క షెల్‌కోడ్ క్రింది కార్యకలాపాలను (కెర్నల్ మోడ్‌లో) నిర్వహిస్తుంది:

  • తిరిగి ఇన్ఫెక్షన్ కోసం తనిఖీ నిర్వహించబడింది, దీని కోసం, 'HKEY_LOCAL_MACHINESOFTWAREMmicrosoftWindowsCurrentVersionInternet SettingsZones4' వద్ద 'CF1D' కీ ఉనికిని రిజిస్ట్రీలో తనిఖీ చేసారు, అది నిజమైతే, షెల్‌కోడ్ దాని అమలును పూర్తి చేస్తుంది;
  • రెండు ఫైల్‌లు డీక్రిప్ట్ చేయబడ్డాయి - డ్రైవర్ (sys) మరియు ఇన్‌స్టాలర్ (dll);
  • డ్రైవర్ సర్వీస్‌లు.exe ప్రాసెస్‌లోకి ఇంజెక్ట్ చేయబడింది మరియు ఇన్‌స్టాలర్‌ను ప్రారంభించింది;
  • చివర్లో, షెల్‌కోడ్ మెమరీలో సున్నాలతో తుడిచిపెట్టుకుపోయింది.

win32k.sysని రూట్ యూజర్ 'సిస్టమ్'గా అమలు చేయడం ద్వారా, Duqu డెవలపర్‌లు అనధికారిక లాంచ్ మరియు ఎలివేషన్ (పరిమిత అధికారాలతో వినియోగదారు ఖాతా కింద నడుస్తోంది) రెండింటి సమస్యను చక్కగా పరిష్కరించారు.
ఇన్‌స్టాలర్, నియంత్రణను స్వీకరించిన తర్వాత, మెమరీలో మూడు డేటా బ్లాక్‌లను డీక్రిప్ట్ చేసింది:

  • సంతకం చేసిన డ్రైవర్ (sys);
  • ప్రధాన మాడ్యూల్ (dll);
  • ఇన్‌స్టాలర్ కాన్ఫిగరేషన్ డేటా (pnf).

ఇన్‌స్టాలర్ కాన్ఫిగరేషన్ డేటాలో, తేదీల పరిధి పేర్కొనబడింది (రెండు టైమ్‌స్టాంప్‌ల రూపంలో - ప్రారంభం మరియు ముగింపు). ఇన్‌స్టాలర్ ప్రస్తుత తేదీ దానిలోకి వస్తుందో లేదో తనిఖీ చేసింది, కాకపోతే, అది దాని అమలును పూర్తి చేసింది. అలాగే, ఇన్‌స్టాలర్ కాన్ఫిగరేషన్ డేటాలో, డ్రైవర్ మరియు ప్రధాన మాడ్యూల్ సేవ్ చేయబడిన పేర్లు సూచించబడ్డాయి. ఈ సందర్భంలో, ప్రధాన మాడ్యూల్ గుప్తీకరించిన రూపంలో డిస్క్‌లో సేవ్ చేయబడింది.

Duqu ఒక హానికరమైన మాట్రియోష్కా

Duquను ఆటోస్టార్ట్ చేయడానికి, రిజిస్ట్రీలో నిల్వ చేయబడిన కీలను ఉపయోగించి ఫ్లైలో ప్రధాన మాడ్యూల్‌ను డీక్రిప్ట్ చేసే డ్రైవర్ ఫైల్‌ను ఉపయోగించే ఒక సేవ సృష్టించబడింది. ప్రధాన మాడ్యూల్ దాని స్వంత కాన్ఫిగరేషన్ డేటా బ్లాక్‌ను కలిగి ఉంది. మొదటి ప్రారంభంలో, ఇది డీక్రిప్ట్ చేయబడింది, ఇన్‌స్టాలేషన్ తేదీ దానిలో నమోదు చేయబడింది, దాని తర్వాత అది మళ్లీ గుప్తీకరించబడింది మరియు ప్రధాన మాడ్యూల్ ద్వారా సేవ్ చేయబడింది. అందువల్ల, ప్రభావిత సిస్టమ్‌లో, విజయవంతమైన ఇన్‌స్టాలేషన్ సమయంలో, మూడు ఫైల్‌లు సేవ్ చేయబడ్డాయి - డ్రైవర్, ప్రధాన మాడ్యూల్ మరియు దాని కాన్ఫిగరేషన్ డేటా ఫైల్, చివరి రెండు ఫైల్‌లు డిస్క్‌లో ఎన్‌క్రిప్టెడ్ రూపంలో నిల్వ చేయబడ్డాయి. అన్ని డిక్రిప్షన్ విధానాలు మెమరీలో మాత్రమే నిర్వహించబడ్డాయి. యాంటీవైరస్ సాఫ్ట్‌వేర్ ద్వారా గుర్తించే అవకాశాన్ని తగ్గించడానికి ఈ సంక్లిష్ట ఇన్‌స్టాలేషన్ విధానం ఉపయోగించబడింది.

ప్రధాన మాడ్యూల్

ప్రధాన మాడ్యూల్ (వనరు 302), ద్వారా సమాచారం Kaspersky Lab ద్వారా, స్వచ్ఛమైన Cలో MSVC 2008ని ఉపయోగించి వ్రాయబడింది, కానీ ఆబ్జెక్ట్-ఓరియెంటెడ్ విధానాన్ని ఉపయోగిస్తుంది. హానికరమైన కోడ్‌ని అభివృద్ధి చేస్తున్నప్పుడు ఈ విధానం అసాధారణమైనది. నియమం ప్రకారం, అటువంటి కోడ్ పరిమాణాన్ని తగ్గించడానికి మరియు C ++ లో అంతర్లీనంగా ఉన్న అవ్యక్త కాల్‌లను వదిలించుకోవడానికి C లో వ్రాయబడుతుంది. ఇక్కడ సహజీవనం కూడా ఉంది. అదనంగా, ఈవెంట్-ఓరియెంటెడ్ ఆర్కిటెక్చర్ ఉపయోగించబడింది. కాస్పెర్స్కీ ల్యాబ్ ఉద్యోగులు ప్రధాన మాడ్యూల్ ప్రీ-ప్రాసెసర్ యాడ్-ఆన్‌ను ఉపయోగించి వ్రాయబడిందనే సిద్ధాంతానికి మొగ్గు చూపుతారు, ఇది ఆబ్జెక్ట్ స్టైల్‌లో సిలో కోడ్‌ను వ్రాయడానికి మిమ్మల్ని అనుమతిస్తుంది.
ప్రధాన మాడ్యూల్ ఆపరేటర్ల నుండి ఆదేశాలను స్వీకరించే విధానానికి బాధ్యత వహిస్తుంది. Duqu పరస్పర చర్య చేయడానికి అనేక మార్గాలను అందిస్తుంది: HTTP మరియు HTTPS ప్రోటోకాల్‌లను ఉపయోగించడం, అలాగే పేరున్న పైపులను (పైపు) ఉపయోగించడం. HTTP(S) కోసం, కమాండ్ సెంటర్ల డొమైన్ పేర్లు పేర్కొనబడ్డాయి, అయితే ప్రాక్సీ సర్వర్ ద్వారా పని చేయడం సాధ్యమవుతుంది - వాటికి వినియోగదారు పేరు మరియు పాస్‌వర్డ్ ఇవ్వబడింది. ఛానెల్‌కు IP చిరునామా మరియు ఛానెల్ పేరు ఇవ్వబడింది. పేర్కొన్న డేటా ప్రధాన మాడ్యూల్ (ఎన్‌క్రిప్టెడ్) యొక్క కాన్ఫిగరేషన్ డేటా బ్లాక్‌లో నిల్వ చేయబడుతుంది.
పేరున్న పైపులను ఉపయోగించడానికి, RPC సర్వర్ యొక్క అనుకూల అమలు ప్రారంభించబడింది. ఇది క్రింది ఏడు ఫంక్షన్లకు మద్దతు ఇచ్చింది:

  • ఇన్‌స్టాల్ చేసిన సంస్కరణను తిరిగి ఇవ్వండి;
  • పేర్కొన్న ప్రక్రియలో dllని ఇంజెక్ట్ చేయండి మరియు పేర్కొన్న ఫంక్షన్‌కు కాల్ చేయండి;
  • లోడ్ dll;
  • CreateProcess()కి కాల్ చేయడం ద్వారా ప్రక్రియను ప్రారంభించండి;
  • ఇచ్చిన ఫైల్ యొక్క కంటెంట్లను చదవండి;
  • పేర్కొన్న ఫైల్‌కు డేటాను వ్రాయండి;
  • ఇచ్చిన ఫైల్‌ను తొలగించండి.

Duqu-సోకిన కంప్యూటర్ల మధ్య నవీకరించబడిన మాడ్యూల్స్ మరియు కాన్ఫిగరేషన్ డేటాను పంపిణీ చేయడానికి స్థానిక నెట్‌వర్క్‌లో పేరున్న పైపులను ఉపయోగించవచ్చు. అదనంగా, Duqu ఇతర సోకిన కంప్యూటర్‌లకు ప్రాక్సీ సర్వర్‌గా పని చేస్తుంది (గేట్‌వేపై ఫైర్‌వాల్ సెట్టింగ్‌ల కారణంగా ఇంటర్నెట్‌కు ప్రాప్యత లేదు). Duqu యొక్క కొన్ని సంస్కరణలు RPC కార్యాచరణను కలిగి లేవు.

తెలిసిన "పేలోడ్‌లు"

Duqu నియంత్రణ కేంద్రం నుండి కమాండ్‌పై లోడ్ చేయబడిన కనీసం నాలుగు "పేలోడ్‌లను" Symantec గుర్తించింది.
అయినప్పటికీ, వాటిలో ఒకటి మాత్రమే నివాసి మరియు డిస్క్‌లో సేవ్ చేయబడిన ఎక్జిక్యూటబుల్ ఫైల్ (exe) వలె కంపైల్ చేయబడింది. మిగిలిన మూడు dll లైబ్రరీలుగా అమలు చేయబడ్డాయి. అవి డైనమిక్‌గా లోడ్ చేయబడ్డాయి మరియు డిస్క్‌లో సేవ్ చేయబడకుండా మెమరీలో అమలు చేయబడ్డాయి.

నివాసి "పేలోడ్" ఒక గూఢచారి మాడ్యూల్ (ఇన్ఫోస్టీలర్) కీలాగర్ ఫంక్షన్లతో. దీన్ని వైరస్‌టోటల్‌కు పంపడంతోనే డుకు పరిశోధనపై పని ప్రారంభమైంది. ప్రధాన గూఢచారి కార్యాచరణ వనరులో ఉంది, వీటిలో మొదటి 8 కిలోబైట్‌లు గెలాక్సీ NGC 6745 (మాస్కింగ్ కోసం) ఫోటోలో కొంత భాగాన్ని కలిగి ఉన్నాయి. ఏప్రిల్ 2012లో, కొన్ని మీడియా ఇరాన్ ఒకరకమైన స్టార్స్ మాల్వేర్‌కు గురైందని (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) సమాచారాన్ని ప్రచురించిన విషయాన్ని ఇక్కడ గుర్తు చేసుకోవాలి. సంఘటన బహిర్గతం కాలేదు. ఇరాన్‌లో డుకు “పేలోడ్” యొక్క అటువంటి నమూనా కనుగొనబడే అవకాశం ఉంది, అందుకే దీనికి “స్టార్స్” (నక్షత్రాలు) అని పేరు వచ్చింది.
గూఢచారి మాడ్యూల్ కింది సమాచారాన్ని సేకరించింది:

  • నడుస్తున్న ప్రక్రియల జాబితా, ప్రస్తుత వినియోగదారు మరియు డొమైన్ గురించిన సమాచారం;
  • నెట్‌వర్క్ వాటితో సహా లాజికల్ డ్రైవ్‌ల జాబితా;
  • స్క్రీన్షాట్లు;
  • నెట్వర్క్ ఇంటర్ఫేస్ల చిరునామాలు, రూటింగ్ పట్టికలు;
  • కీబోర్డ్ కీస్ట్రోక్‌ల లాగ్ ఫైల్;
  • ఓపెన్ అప్లికేషన్ విండోస్ పేర్లు;
  • అందుబాటులో ఉన్న నెట్‌వర్క్ వనరుల జాబితా (వనరులను పంచుకోవడం);
  • తొలగించగల వాటితో సహా అన్ని డ్రైవ్‌లలోని ఫైల్‌ల పూర్తి జాబితా;
  • "నెట్‌వర్క్డ్ ఎన్విరాన్‌మెంట్"లోని కంప్యూటర్‌ల జాబితా.

మరొక గూఢచారి మాడ్యూల్ (ఇన్ఫోస్టీలర్) అనేది ఇప్పటికే వివరించిన దాని యొక్క వైవిధ్యం, కానీ dll లైబ్రరీగా సంకలనం చేయబడింది, కీలాగర్ యొక్క విధులు, ఫైల్‌ల జాబితాను కంపైల్ చేయడం మరియు డొమైన్‌లో చేర్చబడిన కంప్యూటర్‌లను లెక్కించడం వంటివి దాని నుండి తీసివేయబడ్డాయి.
తదుపరి మాడ్యూల్ (నిఘా) సేకరించిన సిస్టమ్ సమాచారం:

  • కంప్యూటర్ డొమైన్‌లో భాగమా;
  • Windows సిస్టమ్ డైరెక్టరీలకు మార్గాలు;
  • ఆపరేటింగ్ సిస్టమ్ వెర్షన్;
  • ప్రస్తుత వినియోగదారు పేరు;
  • నెట్వర్క్ ఎడాప్టర్ల జాబితా;
  • సిస్టమ్ మరియు స్థానిక సమయం, అలాగే టైమ్ జోన్.

చివరి మాడ్యూల్ (జీవితకాలం పొడిగింపు) పని ముగిసే వరకు మిగిలి ఉన్న రోజుల సంఖ్య యొక్క విలువను (ప్రధాన మాడ్యూల్ యొక్క కాన్ఫిగరేషన్ డేటా ఫైల్‌లో నిల్వ చేయబడుతుంది) పెంచడానికి ఒక ఫంక్షన్‌ను అమలు చేసింది. డిఫాల్ట్‌గా, ఈ విలువ Duqu యొక్క సవరణపై ఆధారపడి 30 లేదా 36 రోజులకు సెట్ చేయబడింది మరియు ప్రతిరోజూ ఒకటి తగ్గుతుంది.

కమాండ్ సెంటర్లు

అక్టోబర్ 20, 2011 న (ఆవిష్కరణ బహిరంగపరచబడిన మూడు రోజుల తర్వాత), కమాండ్ సెంటర్ల ఆపరేషన్ యొక్క జాడలను నాశనం చేయడానికి Duqu ఆపరేటర్లు ఒక విధానాన్ని నిర్వహించారు. వియత్నాం, ఇండియా, జర్మనీ, సింగపూర్, స్విట్జర్లాండ్, గ్రేట్ బ్రిటన్, హాలండ్, దక్షిణ కొరియాలో - ప్రపంచవ్యాప్తంగా హ్యాక్ చేయబడిన సర్వర్‌లలో కమాండ్ సెంటర్లు హోస్ట్ చేయబడ్డాయి. ఆసక్తికరంగా, గుర్తించబడిన అన్ని సర్వర్‌లు CentOS సంస్కరణలు 5.2, 5.4 లేదా 5.5ని అమలు చేస్తున్నాయి. OSలు 32-బిట్ మరియు 64-బిట్ రెండూ. కమాండ్ సెంటర్‌ల ఆపరేషన్‌కు సంబంధించిన అన్ని ఫైల్‌లు తొలగించబడినప్పటికీ, కాస్పెర్స్కీ ల్యాబ్ నిపుణులు LOG ఫైల్‌లలోని కొంత సమాచారాన్ని స్లాక్ స్పేస్ నుండి తిరిగి పొందగలిగారు. అత్యంత ఆసక్తికరమైన విషయం ఏమిటంటే సర్వర్‌లపై దాడి చేసేవారు ఎల్లప్పుడూ డిఫాల్ట్ OpenSSH 4.3 ప్యాకేజీని వెర్షన్ 5.8తో భర్తీ చేస్తారు. సర్వర్‌లను హ్యాక్ చేయడానికి OpenSSH 4.3లో తెలియని దుర్బలత్వం ఉపయోగించబడిందని ఇది సూచించవచ్చు. అన్ని సిస్టమ్‌లు కమాండ్ సెంటర్‌లుగా ఉపయోగించబడలేదు. కొన్ని, పోర్ట్‌లు 80 మరియు 443 కోసం ట్రాఫిక్‌ను దారి మళ్లించడానికి ప్రయత్నిస్తున్నప్పుడు sshd లాగ్‌లలోని లోపాలను బట్టి, తుది కమాండ్ సెంటర్‌లకు కనెక్ట్ చేయడానికి ప్రాక్సీ సర్వర్‌గా ఉపయోగించబడింది.

తేదీలు మరియు మాడ్యూల్స్

ఏప్రిల్ 2011లో పంపిణీ చేయబడిన ఒక వర్డ్ డాక్యుమెంట్, దీనిని Kaspersky Lab పరిశీలించింది, ఆగస్ట్ 31, 2007 సంకలన తేదీతో ఇన్‌స్టాలర్ డౌన్‌లోడ్ డ్రైవర్‌ను కలిగి ఉంది. CrySys ల్యాబొరేటరీలోకి వచ్చిన డాక్యుమెంట్‌లో ఇదే విధమైన డ్రైవర్ (పరిమాణం - 20608 బైట్లు, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) ఫిబ్రవరి 21, 2008 సంకలన తేదీని కలిగి ఉంది. అదనంగా, Kaspersky Lab నిపుణులు జనవరి 19968, 5 నాటి ఆటోరన్ డ్రైవర్ rndismpc.sys (పరిమాణం - 9 బైట్లు, MD6 - 10AEC5E9C05EE93221544C783BED20C2008E)ని కనుగొన్నారు. 2009గా గుర్తించబడిన భాగాలు ఏవీ కనుగొనబడలేదు. Duqu యొక్క వ్యక్తిగత భాగాల సంకలన సమయ ముద్రల ఆధారంగా, దాని అభివృద్ధి 2007 ప్రారంభంలో ఉండవచ్చు. దీని తొలి అభివ్యక్తి ~DO (బహుశా స్పైవేర్‌లో ఒకదాని ద్వారా సృష్టించబడింది) ఫారమ్‌లోని తాత్కాలిక ఫైల్‌ల గుర్తింపుతో అనుబంధించబడింది, దీని సృష్టి తేదీ నవంబర్ 28, 2008 (వ్యాసం "Duqu & Stuxnet: ఆసక్తికర సంఘటనల కాలక్రమం"). Duquకు సంబంధించిన అత్యంత ఇటీవలి తేదీ ఫిబ్రవరి 23, 2012, ఇది మార్చి 2012లో Symantec ద్వారా కనుగొనబడిన ఇన్‌స్టాలర్ డౌన్‌లోడ్ డ్రైవర్‌లో ఉంది.

ఉపయోగించిన సమాచార వనరులు:

వ్యాసాల శ్రేణి Kaspersky ల్యాబ్ నుండి Duqu గురించి;
సిమాంటెక్ విశ్లేషకుల నివేదిక "W32.Duqu తదుపరి స్టక్స్‌నెట్‌కు పూర్వగామి", వెర్షన్ 1.4, నవంబర్ 2011 (pdf).

మూలం: www.habr.com

ఒక వ్యాఖ్యను జోడించండి