Nieuwe Duqu-variant duikt op in Iran

Symantec meldt dat er een nieuwe variant van de Duqu-malware is gevonden. Het virus is aangetroffen in Iran en lijkt te zijn voorzien van een ander encryptie-algoritme, terwijl er geen gebruik meer wordt gemaakt van een gestolen certificaat.

De Duqu-variant is volgens Symantec gevonden in Iran, maar het is niet geheel duidelijk of deze versie specifiek gericht is op dat land. Dit komt mede omdat een aantal onderdelen in de aangebrachte sample ontbreken. Symantec meldt echter dat de malwareschrijvers de encryptie-engine van de Duqu-malware hebben aangepast. Deze versleuteling wordt gebruikt om de diverse onderdelen van de malware op een besmet systeem te verbergen voor antivirus-software.

Een ander opvallend verschil met het 'origineel', dat een afgeleide zou zijn van de Stuxnet-malware, is dat deze Duqu-versie niet langer gebruik maakt van een gestolen certificaat; de malware zou zich in deze gedaante voordoen als een Microsoft class driver. Symantec stelt dat uit het opduiken van een nieuwe Duqu-variant ook kan worden afgeleid dat de makers nog steeds actief zijn met het bouwen van nieuwe malware: de code is gecompileerd op 23 februari.

Eerder deze week concludeerde Kaspersky Lab, na hulp te hebben gekregen van programmeurs, dat een mysterieuze module van de Duqu-trojan is geschreven in een objectgeoriënteerd C-dialect. Volgens Kaspersky blijkt hieruit dat de Duqu-ontwikkelaars doelbewust hebben gekozen voor een flexibele basis, zodat de malware ook op andere platformen ingezet kan worden. Bovendien zou de malware zeer robuust zijn door het gebruik van een asynchroon communicatiemodel.

Door Dimitri Reijerman

Redacteur

Feedback • 21-03-2012 17:43 24

21-03-2012 • 17:43

24

Lees meer

Spionagegroep infecteert offline-computers via usb-sticks
Spionagegroep infecteert offline-computers via usb-sticks Nieuws van 8 augustus 2016
Duqu 2.0-malware gebruikte gestolen certificaat van Foxconn
Duqu 2.0-malware gebruikte gestolen certificaat van Foxconn Nieuws van 16 juni 2015
Microsoft waarschuwt voor toename diefstal van certificaten
Microsoft waarschuwt voor toename diefstal van certificaten Nieuws van 16 december 2013
'Wiper-virus is vermoedelijk verwant aan Stuxnet'
'Wiper-virus is vermoedelijk verwant aan Stuxnet' Nieuws van 29 augustus 2012
Nieuwe spionagetool besmet systemen Midden-Oosten
Nieuwe spionagetool besmet systemen Midden-Oosten Nieuws van 18 juli 2012
FBI onderzoekt uitlekken van cyberaanvalsprogramma
FBI onderzoekt uitlekken van cyberaanvalsprogramma Nieuws van 5 juni 2012
Krant: Amerikaanse regering zat achter Stuxnet
Krant: Amerikaanse regering zat achter Stuxnet Nieuws van 1 juni 2012
Nieuwe geavanceerde trojan verschijnt in het Midden-Oosten
Nieuwe geavanceerde trojan verschijnt in het Midden-Oosten Nieuws van 29 mei 2012
Iran gaat eigen antivirussoftware ontwikkelen
Iran gaat eigen antivirussoftware ontwikkelen Nieuws van 3 mei 2012
Iran verbreekt verbindingen met olie-installaties na malware-aanval
Iran verbreekt verbindingen met olie-installaties na malware-aanval Nieuws van 23 april 2012
'Stuxnet werd door infiltrant via usb-stick verspreid'
'Stuxnet werd door infiltrant via usb-stick verspreid' Nieuws van 13 april 2012
'Malware Omroep Zeeland was bankentrojan' - update
'Malware Omroep Zeeland was bankentrojan' - update Nieuws van 30 maart 2012
Oekraïense politie sluit virusbibliotheek VX Heavens
Oekraïense politie sluit virusbibliotheek VX Heavens Nieuws van 28 maart 2012
Mysterieuze programmeertaal Duqu blijkt 'C-dialect'
Mysterieuze programmeertaal Duqu blijkt 'C-dialect' Nieuws van 19 maart 2012
'Duqu-trojan deels geschreven in onbekende programmeertaal'
'Duqu-trojan deels geschreven in onbekende programmeertaal' Nieuws van 8 maart 2012
'Ontwikkelaars Duqu en Stuxnet maakten nog drie virussen'
'Ontwikkelaars Duqu en Stuxnet maakten nog drie virussen' Nieuws van 29 december 2011
Microsoft brengt patch voor Duqu-lek uit
Microsoft brengt patch voor Duqu-lek uit Nieuws van 14 december 2011
F-Secure vindt malware met certificaat van Maleisische overheid
F-Secure vindt malware met certificaat van Maleisische overheid Nieuws van 14 november 2011
'Iran bestrijdt Duqu-virus met eigen software'
'Iran bestrijdt Duqu-virus met eigen software' Nieuws van 14 november 2011
Bug in Windows maakt aanval op gesloten udp-poorten mogelijk
Bug in Windows maakt aanval op gesloten udp-poorten mogelijk Nieuws van 8 november 2011
'Duqu-variant bespioneerde wellicht Iraans kernprogramma'
'Duqu-variant bespioneerde wellicht Iraans kernprogramma' Nieuws van 7 november 2011
Symantec ontdekt spionage via malware in Nederland en België
Symantec ontdekt spionage via malware in Nederland en België Nieuws van 4 november 2011
Symantec: Stuxnet-makers brengen nieuwe malware in circulatie
Symantec: Stuxnet-makers brengen nieuwe malware in circulatie Nieuws van 19 oktober 2011
Meer producten en artikelen
Privacy Politiek en recht Netwerk en systeembeheer Beveiliging Malware

Reacties (24)

-Moderatie-faq
24
23
14
2
0
4
Wijzig sortering

Sorteer op:

Weergave:
archive23 21 maart 2012 19:21
Wordt het niet tijd voor overheidsinstellingen om de gebruikerssystemen over te laten zetten op Linux? Ik kan me voorstellen dat de infectiepercentage flink zou dalen in dat geval.
blorf @archive2321 maart 2012 20:02
Waarschijnlijk wel. Ondanks dat er altijd geroepen wordt dat *nix alleen maar veiliger lijkt omdat het minder gebruikt wordt. Maar ik ben van mening dat het fundamenteel beter in elkaar zit. Zowel bestanden, processen en devices zijn onderhevig aan een strikte permissie-hierarchie die de meeste problemen al voorkomt. Buiten dat is het open source wat betekent dat alle mogelijke problemen door iedereen letterlijk tot op de bodem kunnen worden onderzocht en dus worden opgelost. Er is geen "svchost.exe" die de hele tijd draait maar niks vrijgeeft over wat ie nou eigenlijk aan het doen is. Daar kan je een boel ellende van krijgen.

[Reactie gewijzigd door blorf op 24 juli 2024 10:48]

Verwijderd @blorf21 maart 2012 21:55
Je kunt wel degelijk zien wat svchost precies aan het doen is, process explorer, sysinternals tools. Permissies, mandatory access control, acl's per key, het zit ook allemaal in Windows.
Verwijderd @archive2321 maart 2012 19:53
Ja totdat mensen daar virussen voor gaan schrijven. Dit is dus een manier om tijdelijk van problemen af te komen. Of te wel geen oplossing.
latka @Verwijderd21 maart 2012 22:13
Niet helemaal: de Windows API is zo bloated dat deze nauwelijks meer te reviewen is. De standaard API onder Unix en de bijbehorende rechten zijn dermate simpel dat een review makkelijker is en het dus veel eenvoudiger is vast te stellen of er problemen in zitten. Het klopt dat de aandacht zal verschuiven, maar het probleem is beter te behapstukken dan een review van Windows met 20+ jaar bagage aan onnodige API calls.
Armin
@latka22 maart 2012 17:03
Je schrijft Windows API's maar dat is een niet bestaande term. Win32 bestaat wel, maar is slechts een van de vele API's in Windows.

Probleem is natuurlijk dat als Microsoft zomaar Win32 API's gaat weggooien er opeens een heleboel applicaties stoppen met werken. In Linux vinden gebruikers dat heel normaal, want er is geen verwachting dat een app van versie X zonder hercompileren draait op versie Y. Op Windows worden mensen boos als dat niet het geval is.

Merk daarbij op dat ondanks dat Microsoft toch regelmatig API's verwijdert. Zij doet dat eerst door het als absolete te markeren voor een versie, en de versie daarna eruit te gooien. Met de komst van Windows 8 zullen we dus wederom van een groot aantal oude API's afscheid gaan nemen.

Tenslotte is het steeds vaker niet de bedoeling dat je in Win32 codeert maar hogere frameworks gebruikt. Win32 wordt steeds meer een private API voor enkel Microsoft zelf en andere bedrijven die code schrijven die dieper in het platform zit. In Linux heb je ook talloze functies die enkel intern aangeroepen worden.
wvd_vegt @latka22 maart 2012 11:01
Ach, hoeveel jaar historie met allerlij utilities draagt *nix met zich mee? Alleen al de bugs in SendMail hebben ons decennia plezier bezorgt.
MSalters
@latka22 maart 2012 12:58
Onzin. De "standaard" API van Windows is een stuk groter dan de core unix API, als je zaken zoals X11 weglaat. Maar vergelijk geen appels met peren; voor een security review moet je de core Unix API met de native NT kernel vergelijken en niet de Win32 layer.
Verwijderd 21 maart 2012 19:33
Een goede whitelist scanner die laat zien welke bestanden zijn toegevoegd en welke bestanden zijn gewijzigd lijkt me beter dan de virusscanners die we nu hebben.
DMT @Verwijderd21 maart 2012 21:50
Ook al gedacht aan de output die dat oplevert? Wie gaat al die verschillen dan beoordelen of ze al dan niet terrecht zijn?
Verwijderd @DMT22 maart 2012 00:51
In Symantec Endpoint Protection werkt het al heel aardig
Verwijderd @DMT22 maart 2012 00:55
Wanneer iets moeilijk is, is dat nog geen reden om het niet te doen maar een uitdaging.

Voor firewall en andere logs zijn er al goede mogelijkheden
The Zep Man
21 maart 2012 20:46
Uit het artikel:
de code is gecompileerd op 23 februari.
De metadata geeft aan dat de code gecompileerd is op 23 februari. Dat is een klein maar belangrijk verschil. De makende of wijzigende partij kan daarmee bijvoorbeeld varianten ouder of nieuwer laten lijken door simpelweg de datum aan te passen, om zo onduidelijkheid te creëren wat nou de nieuwste versie is. FUD is een sterk wapen en is makkelijk te gebruiken.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 10:48]

Djaro 21 maart 2012 18:37
het wordt tijd voor UEFI , voel me steeds onveiliger, geen kruid tegen gewassen lijkt wel.
C.Hariri @Djaro21 maart 2012 18:40
En waarmee gaat die UEFI je dan helpen? Wondermiddel 'UEFI' heeft geen enkel effect als iemand direkt toegang tot je computer heeft... Het zou slechts bootvirussen moeten verhelpen, en zelfs dat is niet helemaal uitgesloten.
VNA9216 @C.Hariri21 maart 2012 20:16
Wondermiddel UEFI? Ik vind het maar niets, afhankelijk zijn van de makers daarvan voor de de veiligheid en werking van je systeem. UEFI is imho gewoon te bloated, er zit zoveel in dat het haast niet meer te overzien is.

En dan kom je dingen als dit tegen: http://mjg59.dreamwidth.org/11235.html
Armin
@VNA921622 maart 2012 16:57
Heeft niets met UEFI te maken, maar kan ook in een klassieke BIOS gebeuren.

In dit geval was de WiFi hardware na het boot-process nog steeds actief en bleef dus lekker met zijn DMA in het geheugen schrijven.
dasiro @Djaro21 maart 2012 21:39
eerder McAfee/Intel DeepSafe, een hardwarematige implementatie van een virusscanner
taeke18 @Djaro21 maart 2012 18:40
Ik snap de relevantie niet met UEFI kun je dit ook uitleggen??
ioor 21 maart 2012 18:37
Tja..zo'n soort virus in dat land loslaten is gelijk aan technologie aan dat land geven...met je eigen techneuten het wat aanpassen, en klaar is klara
Gammort 21 maart 2012 22:24
[conspiracymode]
Het is de VS die hun virus wil gebruiken om de ontwikkelingen in het kernenergie programma te kunnen volgen
[/concpiracymode]

Maar even zonder gein.. wat is het precies met dit Duqu virus dat het zo speciaal maakt.. en wat kan het doen?
Gomez12 @Gammort22 maart 2012 00:56
[conspiracymode]
Het is de VS die hun virus wil gebruiken om de ontwikkelingen in het kernenergie programma te kunnen volgen
[/concpiracymode]
Ach, even praktisch gezien bestaat er nog altijd de verdenking dat duqu uit Israel kan komen, dit soort ontdekkingen doen daar niet echt veel aan af.
Sando 21 maart 2012 19:39
En nu de VS en Israël in achterkamertjes weer met de vuisten op tafel slaan: "Dammit, hebben ze wéér onze virussen onderschept. Zo kunnen we nooit de bouw van atoombommen ondermijnen!"

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq