20.10.2011, 10:40

Euroopast leiti Stuxnet’i “poeg”

Arvutiviirus (4)

Turvatarkvaratootja Symantec avastas Euroopa arvutivõrkudest Iraani tuumarajatiste vastu suunatud viirusega Stuxnet väga sarnase troojalase.

Tööstuslike arvutivõrkude vastu suunatud ja kasutajate tegevust troojalase kombel jälgiv ning kontrollkeskusesse kogutud infot saatev pahalane sai nimeks “Duqu*”, kuna tolle koodis on DQ-lõim. Avastatud viirus kasutab nakatunud võrkudest andmete väljaimemiseks võlts-.jpg pildi-ja muid krüpteeritud faile, vahendab Forbes.

Erinevalt Stuxnet’ist**, mis oli sihitud konkreetsete Siemens’i PCS 7 tööstusaparatuuri juhtsüsteemide vastu, korjab Duqu ilmselt infot nakatunud süsteemide ülesehituse kohta. Duqu aktiivne eluiga piirdub 36 päevaga, kuid seda tõenäoliselt vaid avastamise vältimise eesmärgil.

Sümantec’i raport sedastab, et “viiruse kirjutasid samad autorid või inimesed, kellel on ligipääs Stuxnet’i lähtekoodile ja see on kirjutatud hiljem kui viimane meie poolt avastatud Stuxnet’i fail.”

F-Secure’i juhtivanalüütiku Mikko Hypponeni sõnul on Duqu kerneliajur (JMINET7.SYS) Stuxnet’i omaga (MRXCLS.SYS) nii sarnane, et tema tööandja baasserverid pidasid seda Stuxnet’iks.

Käesoleval hetkel paistab Duqu levivat ainult sihtmärgiks seatud tööstuste arvutivõrkudes, samas Symantec möönab, et kurivara võib olla jõudnud mujalegi, kuid seda ei ole lihtsalt veel avastatud.

*Kõlaliselt on Duqu sarnane Star Wars’i eepose teisest osast tuntud tõpra vürst Dooku’ga (toim).

**Stuxnet’i kohta leiab ülevaatliku info F-Secure’i ingliskeelsest blogist ja ajakirja HEI 2011. aasta veebruarinumbrist.

Kommenteeri Loe kommentaare