Duqu背后的黑客集团可能已在其攻击代码工作四年多,新的木马分析显示。
莫斯科的卡巴斯基实验室发表了一些研究结果从最近通过Duqu在苏丹的研究人员提供的样品时说,一个攻击负载的驱动程序被编译在2007年8月,延长了该团伙的工作时间表。
卡巴斯基的高级研究员 Roel Schouwenberg说:“我们不能100%确定该日期,但所有其他文件的编译日期似乎匹配。因此,我们要正确实现这一日期”。
他补充说,2007年8月驱动程序是最有可能创建专门为Duqu组负责攻击,并没有一个现成的,现成的文件被别人,因为司机尚未发现其他地方。
其他研究人员发现之间Duqu进行建造日期2008年2月使用这些文件,但实际的攻击已经追溯到2011年4月。
一个月前一位不愿透露姓名的人士提供苏丹的样品表示对目标进行袭击事件发生在该国,根据卡巴斯基,这两个独立的企图,第一次4月17日,第二次4月21日。植物恶意软件Windows个人电脑。
第一次攻击失败,因为携带一个恶意Word文件的电子邮件是垃圾邮件过滤器堵塞;第二次是成功的。
Microsoft已经确认,Duqu运动利用一个漏洞,Windows内核模式驱动程序,特别是“W32k.sys,”和TrueType字体解析引擎-被感染的PC上获得足够安装恶意软件的权利。