Spolehlivé sítě průmyslového Ethernetu s velkou dostupností. Inteligentní modul I/O řady X20 zvyšuje dostupnost strojů. Rozšíření zorného pole snímače čárového kódu DataMan. Nové řádkové kamery Basler Racer. Programovatelné relé pro všechny bezpečnostní funkce ... skokové automaty ATS-C od společnosti Eaton. Podnikání. Společnost ZAT dokončila modernizaci další elektrárny na Kubě ...
Dále instalační DLL postará
o nahrání hlavní DLL, která pokračuje v dal-
ší instalaci viru. Právě tuto DLL nahraje systémo-
vého procesu services.doc
s virem
shellcode dešifruje
ovladač
a instalační DLL,
ovladač spuštěn
. Samotný proces instalace je
značně komplikovaný a je vytvořen tak, aby
co nejvíce ztížil možnost detekce antivirovým
softwarem (viz také obr.sys Adaptec Inc Adaptec Windows 321 Family Driver ne
iaStor451. V tomto konfiguračním souboru na-
cházejí dva časové údaje. Údaje jsou nejprve zašifrovány při použití
symetrické šifry AES a dále pomocí stegano-
grafie skryty obrázku formátu JPG po-
jmenovaného dsc00001. Klíč viru Duqu v registrech operačního
systému Windows
Jestliže tento klíč v registrech již na-
chází, instalace viru u konce. Těmito
třemi dešifrovanými soubory jsou DLL ob-
sahující hlavní část viru, dále proto označo-
vané jako hlavní DLL. Při použití HTTPS celá komu-
nikace šifrována a skrývání údajů soubo-
ru JPG není použito.
Následně z hlavní DLL extrahován nový
konfigurační soubor, jenž bude spolu sa-
motnou DLL zašifrován a nahrán adresáře
%Windir%\inf\, např.sys Intel Corporation Intel Matrix Storage SCSI driver ne
mcd9x86. hlavní DLL spuštění operační-
ho systému, a posledním dešifrovaným sou-
borem konfigurační soubor pro instalaci
viru. už
Obr. V případě použití HTTP odpovídá
na první dotaz řídicí server prázdným soubo-
rem *.C:\Windows\inf\. C:\
Windows\System32\drivers\, již dříve dešif-
rovaný ovladač, který následně zaveden
jako systémová služba. Nejprve hlavní DLL nahraje
sama sebe dalšího procesu, který vybrán
podle určitých pravidel. Několik ovladačů použitých v různých verzích viru Duqu
Jméno Původce Produkt
Digitální
podpis
cmi4432. Takto přenášené
údaje nevyvolají zvýšenou pozornost ani při
poměrně pečlivém sledování síťového provo-
zu (obr.sys) hlavní DLL konfigurační soubor
hlavní DLL
e-mail obsahující
v příloze soubor *. Poté předá vykonávání dalšího
kódu dané DLL, samotný shellcode již není
třeba a je smazán z paměti.
Duqu: sběr dat
Dokončenou instalací začíná hlavní úkol
viru Duqu, jímž sběr údajů. O tuto činnost se
stará právě ovladač viru; ten také postará
o spuštění DLL v rámci některého z vybra-
ných procesů. tohoto data
bude virus Duqu dní aktivně sbírat úda-
je a komunikovat s řídicím serverem, a jest-
liže řídicí server tuto lhůtu neprodlouží, vir
se jejím uplynutí automaticky odinstaluje.exe
reálný
dokument
zero-day exploit
shellcode
ovladač (*.sys Microsoft Corporation High changer class Driver ne
obsahuje další části viru a stará o jejich in-
stalaci. Jeden z těchto
ovladačů byl digitálně podepsán při použití
zcizeného privátního klíče tchajwanské spo-
lečnosti C-Media, opět podobně jako v pří-
padě viru Stuxnet (obr.jpg. Použitý ovladač se
liší podle verze viru (tab. Jakmile spuštěn operační systém po-
čítače, jsou posledně dva jmenované soubo-
ry automaticky dešifrovány.jpg. 2). Takovéto
chování viru možné brát jako další důkaz,
že virus Duqu byl vytvořen pro útok spe-
cifické cíle. Časové rozpětí liší podle verze
samotného viru, nejčastěji šlo o rozpětí od
několika dní jednoho měsíce.sys
C-Media Electronics
Incorporation
C-Media Electronics Incorporation
ano,
revokováno
jminet7. V opačném
případě instalace pokračuje dešifrováním tří
souborů zdrojů instalační DLL. Poté pokračuje již
z nově nahrané knihovny, následně nahra-
je adresáře %System%\Drivers\, např. 4). Jestliže aktuální
datum nenachází v rozpětí těchto dvou hod-
not, instalace viru ukončena, jinak pokra-
čuje dále.sys IBM Corporation IBM ServeRAID Contoller ne
adpu321. 3). Autoři viru zvolili pro každou verzi
viru jiný řídicí server, který dále nacházel
v různých zemích, jako Německo, Belgie,
Indie atd. V tom-
to novém konfiguračním souboru bude také
uloženo datum instalace viru. Dalším dešifrovaným
souborem ovladač, jehož účelem spus-
tit virus, tj. 5).exe prvně dešifrovaný
ovladač. 1).
V rámci dokončení instalace jsou smazány již
nepotřebné soubory a na pevném disku zůstá-
vají pouze ovladač a zašifrovaná hlavní DLL
spolu zašifrovaným konfiguračním soubo-
rem.11AUTOMA 12/2012
téma
Tab.
Hlavní funkcí řídicího serveru vedle
sběru získaných údajů také schopnost aktuali-
zovat a rozšiřovat virus o nové moduly. Schéma instalace viru Duqu
vyvolání chyby
v ovladači
win32k.sys
JMicron Technology
Corporation
JMicron Volume Snapshot ne
nfrd965. Následně virus odešle získané úda-
je z napadeného systému řídicího serve-
ru. Nejprve je
však prostřednictvím protokolu HTTP nebo
HTTPS navázáno spojení s řídicím serve-
rem, označovaným jako C&C (Command &
Control). Instalační DLL
kontrolou klíče v registru systému Windows
nejprve ověří, zda daný počítač již není infi-
kován (obr. Detail již revokovaného certifikátu Obr.sys)
instalační DLL
dokument
Microsoft Word
dešifrování a injektáž
hlavní DLL viru,
dešifrování spouštěcího
ovladače
a konfiguračního souboru
instalace
ověření, zda virus
již není přítomen
kontrola data útoku
dokončení instalace viru
ovladač (*.sys
a spuštění programu
zero-day exploit
injektáž instalační DLL
services.
HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\Inter
net Settings\Zones\4\“CF1D“
Obr
