安全研究人员已经从CrySyS(加密和系统安全性)实验室在匈牙利位于安装Duqu,Stuxnet的启发它的脚趾,过去几周一直保安业的威胁,并确定它利用一种前所未知的在Windows内核中的漏洞 。
CrySyS从布达佩斯技术与经济大学的实验室也首次确定Duqu的其他组件一样,减少感染系统上恶意的驱动程序和DLL。
CrySyS研究人员宣布:“我们的实验室[...]追求Duqu恶意软件的分析和我们的调查结果,我们确定了一个MS滴管文件0天内核利用内。”
他们补充说:“我们立即提供必要的信息,例如,他们可以采取适当的步骤保护用户的主管组织。”
据赛门铁克称,专家分析CrySyS提供的样品,Duqu感染计算机通过利用零日Windows中的漏洞,当打开一个Microsoft Word文档。
流氓文件最有可能达到有针对性的组织对员工的社会工程攻击的一部分。“Word文档是在这样一种方式,明确目标打算接受组织制作的,”赛门铁克的研究人员指出。
微软已经提醒有关漏洞和修复工作。在此期间,用户应遵循来源不明的最佳做法,并没有打开的文档。
因为这是一个内核中的漏洞,只有一个单一的安装程序是迄今为止发现的,研究人员不排除其他感染的载体,除了恶意制作的.doc文件。
这些事实,Duqu是能够感染不属于自身复制到网络上的共享文件夹连接到Internet的计算机。
事实证明,恶意软件回退机制,踢腿时无法检测到活动的互联网连接,涉及从其他受感染的系统,在同一网络上下载更新的配置文件。