Spolehlivé sítě průmyslového Ethernetu s velkou dostupností. Inteligentní modul I/O řady X20 zvyšuje dostupnost strojů. Rozšíření zorného pole snímače čárového kódu DataMan. Nové řádkové kamery Basler Racer. Programovatelné relé pro všechny bezpečnostní funkce ... skokové automaty ATS-C od společnosti Eaton. Podnikání. Společnost ZAT dokončila modernizaci další elektrárny na Kubě ...
Autoři viru zvolili pro každou verzi
viru jiný řídicí server, který dále nacházel
v různých zemích, jako Německo, Belgie,
Indie atd. Nejprve hlavní DLL nahraje
sama sebe dalšího procesu, který vybrán
podle určitých pravidel. Klíč viru Duqu v registrech operačního
systému Windows
Jestliže tento klíč v registrech již na-
chází, instalace viru u konce.sys IBM Corporation IBM ServeRAID Contoller ne
adpu321. V případě použití HTTP odpovídá
na první dotaz řídicí server prázdným soubo-
rem *.
V rámci dokončení instalace jsou smazány již
nepotřebné soubory a na pevném disku zůstá-
vají pouze ovladač a zašifrovaná hlavní DLL
spolu zašifrovaným konfiguračním soubo-
rem. Následně virus odešle získané úda-
je z napadeného systému řídicího serve-
ru. Jestliže aktuální
datum nenachází v rozpětí těchto dvou hod-
not, instalace viru ukončena, jinak pokra-
čuje dále. Detail již revokovaného certifikátu Obr. Jakmile spuštěn operační systém po-
čítače, jsou posledně dva jmenované soubo-
ry automaticky dešifrovány.sys
a spuštění programu
zero-day exploit
injektáž instalační DLL
services.
Hlavní funkcí řídicího serveru vedle
sběru získaných údajů také schopnost aktuali-
zovat a rozšiřovat virus o nové moduly. V opačném
případě instalace pokračuje dešifrováním tří
souborů zdrojů instalační DLL. Údaje jsou nejprve zašifrovány při použití
symetrické šifry AES a dále pomocí stegano-
grafie skryty obrázku formátu JPG po-
jmenovaného dsc00001. Právě tuto DLL nahraje systémo-
vého procesu services.sys)
instalační DLL
dokument
Microsoft Word
dešifrování a injektáž
hlavní DLL viru,
dešifrování spouštěcího
ovladače
a konfiguračního souboru
instalace
ověření, zda virus
již není přítomen
kontrola data útoku
dokončení instalace viru
ovladač (*. Dalším dešifrovaným
souborem ovladač, jehož účelem spus-
tit virus, tj.sys
C-Media Electronics
Incorporation
C-Media Electronics Incorporation
ano,
revokováno
jminet7. už
Obr. Několik ovladačů použitých v různých verzích viru Duqu
Jméno Původce Produkt
Digitální
podpis
cmi4432. Při použití HTTPS celá komu-
nikace šifrována a skrývání údajů soubo-
ru JPG není použito. Dále instalační DLL postará
o nahrání hlavní DLL, která pokračuje v dal-
ší instalaci viru. 4). 1).sys
JMicron Technology
Corporation
JMicron Volume Snapshot ne
nfrd965.
HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\Inter
net Settings\Zones\4\“CF1D“
Obr.exe prvně dešifrovaný
ovladač. O tuto činnost se
stará právě ovladač viru; ten také postará
o spuštění DLL v rámci některého z vybra-
ných procesů. Časové rozpětí liší podle verze
samotného viru, nejčastěji šlo o rozpětí od
několika dní jednoho měsíce. Instalační DLL
kontrolou klíče v registru systému Windows
nejprve ověří, zda daný počítač již není infi-
kován (obr. 3). tohoto data
bude virus Duqu dní aktivně sbírat úda-
je a komunikovat s řídicím serverem, a jest-
liže řídicí server tuto lhůtu neprodlouží, vir
se jejím uplynutí automaticky odinstaluje. 5). V tom-
to novém konfiguračním souboru bude také
uloženo datum instalace viru. Použitý ovladač se
liší podle verze viru (tab.exe
reálný
dokument
zero-day exploit
shellcode
ovladač (*. Těmito
třemi dešifrovanými soubory jsou DLL ob-
sahující hlavní část viru, dále proto označo-
vané jako hlavní DLL.
Duqu: sběr dat
Dokončenou instalací začíná hlavní úkol
viru Duqu, jímž sběr údajů. 2).doc
s virem
shellcode dešifruje
ovladač
a instalační DLL,
ovladač spuštěn
. Nejprve je
však prostřednictvím protokolu HTTP nebo
HTTPS navázáno spojení s řídicím serve-
rem, označovaným jako C&C (Command &
Control). C:\
Windows\System32\drivers\, již dříve dešif-
rovaný ovladač, který následně zaveden
jako systémová služba.sys Microsoft Corporation High changer class Driver ne
obsahuje další části viru a stará o jejich in-
stalaci.sys) hlavní DLL konfigurační soubor
hlavní DLL
e-mail obsahující
v příloze soubor *.sys Adaptec Inc Adaptec Windows 321 Family Driver ne
iaStor451. Takto přenášené
údaje nevyvolají zvýšenou pozornost ani při
poměrně pečlivém sledování síťového provo-
zu (obr. hlavní DLL spuštění operační-
ho systému, a posledním dešifrovaným sou-
borem konfigurační soubor pro instalaci
viru. V tomto konfiguračním souboru na-
cházejí dva časové údaje.C:\Windows\inf\. Takovéto
chování viru možné brát jako další důkaz,
že virus Duqu byl vytvořen pro útok spe-
cifické cíle.jpg. Samotný proces instalace je
značně komplikovaný a je vytvořen tak, aby
co nejvíce ztížil možnost detekce antivirovým
softwarem (viz také obr.jpg.
Následně z hlavní DLL extrahován nový
konfigurační soubor, jenž bude spolu sa-
motnou DLL zašifrován a nahrán adresáře
%Windir%\inf\, např.11AUTOMA 12/2012
téma
Tab. Jeden z těchto
ovladačů byl digitálně podepsán při použití
zcizeného privátního klíče tchajwanské spo-
lečnosti C-Media, opět podobně jako v pří-
padě viru Stuxnet (obr. Poté pokračuje již
z nově nahrané knihovny, následně nahra-
je adresáře %System%\Drivers\, např. Poté předá vykonávání dalšího
kódu dané DLL, samotný shellcode již není
třeba a je smazán z paměti. Schéma instalace viru Duqu
vyvolání chyby
v ovladači
win32k.sys Intel Corporation Intel Matrix Storage SCSI driver ne
mcd9x86
