戴尔SecureWorks公司上周三的一份报告揭穿,新发现的Duqu 木马相关的想法去年的Stuxnet蠕虫病毒或是由同一作者创建的。
据SecureWorks公司之间Duqu和Stuxnet的代码和功能有一些相似之处,但很少有确凿证据将两者联系。“支持的证据是间接充其量不足,以确认有直接的关系”。
Duqu木马被发现本月初,由一个名不见经传的匈牙利所谓的加密和系统安全实验室的实验室。上周在一份报告中,赛门铁克称为木马的易制毒化学未来的Stuxnet说,Duqu共享很多与Stuxnet的源代码,可能是由同一作者所创建的。
赛门铁克指出,不像Stuxnet,Duqu是没有直接针对工业控制系统。其主要目的是让黑客窃取工艺对使用这种系统的实体的攻击,然后可以使用的工业控制系统的制造商的数据。
但是,戴尔SecureWorks公司首席技术官乔恩拉姆齐说,任何Duqu和Stuxnet的之间的链接出现最好的脆弱。
他说:“Duqu和Stuxnet的恶意软件的复杂件,具有多个组件。所谓的两个存在,只是这些组件之一之间的相似之处”。
Duqu和Stuxnet的使用内核驱动程序解密和加载某些加密的文件,被感染的计算机上。内核驱动程序作为一个“喷射发动机”装入一个特定的过程文件,根据SecureWorks公司。内核的Stuxnet和Duqu驱动程序使用许多类似的技术,如rootkit的隐藏文件,加密和隐形。
但是,这并不意味着两个有直接关系,拉姆齐指出已使用过的内核级的rootkit,不是唯一的Stuxnet或Duqu。拉姆齐说,此前发现的恶意软件威胁,如BlackEnergy 2和Rustock的都使用了类似的内核级的rootkit。
Duqu的内核驱动程序使用与Stuxnet的代码签名证书签署的事实已作为这两者是相关的标志。但损害如Duqu使用一个可以从多个来源获得的证书签名,拉姆齐说。他说,有人已经证明Duqu和Stuxnet的证书的来源是相同的,以得出一个明确的结论。
拉姆齐说,比其他内核驱动的异同,Duqu和Stuxnet的相当几乎所有其他方面的不同 。