Symantec ha rintracciato W32.Duqu, il primo “successore” per Stuxnet

SymantecW32.Duqu è stato definito da Symantec «il precursore del futuro Stuxnet», il virus ritenuto responsabile dell’alterazione dei livelli di radioattività della centrale nucleare iraniana di Natanz. Duqu e Stuxnet condividono il codice, benché abbiano obiettivi differenti: è saltata l’ipotesi di un complotto, tra Stati Uniti e Israele.

Il legame tra Duqu, chiamato così perché genera dei file col prefisso ~DQ, e Stuxnet è confermato da vari fattori: oltre a presentare un codice affine, la prima infezione da Duqu è partita con l’estinzione dell’ultimo sistema infetto da Stuxnet. Anziché attaccare le macchine a controllo numerico, Duqu sembrerebbe un semplice trojan.

Il malware s’insedia nel sistema infetto per un periodo limitato a trentasei giorni, passati i quali si auto-distrugge. L’infezione non si “riproduce” e comunica con un server centrale via HTTP e HTTPS. Per trasmettere le informazioni, Duqu s’avvale della steganografia scambiando immagini di tipo JPEG. È l’inizio di una nuova fase.

Via | Symantec

  • shares
  • +1
  • Mail