Duqu e Stuxnet: malware con molti elementi in comune

Duqu e Stuxnet: malware con molti elementi in comune

Gli esperti di sicurezza di Kaspersky Labs hanno diffuso un'analisi realizzata tra Duqu e Stuxnet: i due malware avrebbero forti somiglianze

di pubblicata il , alle 17:04 nel canale Sicurezza
 

Nei giorni scorsi Kaspersky Labs ha diffuso importanti dati relativi a Duqu e Stuxnet, minacce che da mesi vengono tenute sotto controllo e studiate dagli esperti si sicurezza. Una particolarità che rende questi malware particolarmente importanti è il loro target: per questi due codici non si parla di utenti finali, di furti di identità o altre attività illecite, ma l'obiettivo finale riguarda infrastrutture critiche e strategiche.

Stando agli esperti Duqu e Stuxnet hanno importanti elementi comuni tali da far pensare che dietro a entrambi i malware ci sia lo stesso sviluppatore, o meglio team di sviluppo. Ciò che accomuna i due malware è la parte di codice deputata a diffonderli e renderli attivi: gli esperti hanno confrontato date e caratteristiche inerenti i driver di Duqu e Stuxnetrealizzando questa completa analisi.

Dietro a queste minacce c'è una piattaforma progettata nel 2007 e a più riprese aggiornata per essere utilizzata anche in altre attività malevole. In conclusione, per gli esperti di Kaspersky Labs sono attivi svariati progetti basati sulla medesima piataforma - denominata anche “Tilded” platform" per l'utilizzo dei caratteri ~d nel nome dei file - utilizzata da Duqu e Stuxnnet; per le caratteristiche di modularità e polimorfismo è quindi probabile che anche in futuro altri malware potranno utilizzare parte di questo codice.

5 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
omerook02 Gennaio 2012, 17:11 #1
e' iniziata l'era delle bitwars
bubbl403 Gennaio 2012, 11:44 #2
scusate un piccolo ot ma come mai su hwupgrade.it (e siti annessi) kaspersky mi notifica tale virus HEUR.Trojan.ScriptIframer, con indirizzo "adsy.publy.it/www/delivery/afr.php?zoneid=500&cb=INSERT_RANDOM_NUMBER_HERE etc." ?
Probabilmente si tratta di un falso positivo... il problema dovrebbe in ogni caso risiedere nel vostro circuito di adserving: bloccando tutti gli script sui vostri siti (uso Opera) kaspersky non ha infatti più notificato nulla.
Qualcun'altro con lo stesso comportamento?

grazie
GmG03 Gennaio 2012, 12:47 #3
Originariamente inviato da: bubbl4
scusate un piccolo ot ma come mai su hwupgrade.it (e siti annessi) kaspersky mi notifica tale virus HEUR.Trojan.ScriptIframer, con indirizzo "adsy.publy.it/www/delivery/afr.php?zoneid=500&cb=INSERT_RANDOM_NUMBER_HERE etc." ?
Probabilmente si tratta di un falso positivo... il problema dovrebbe in ogni caso risiedere nel vostro circuito di adserving: bloccando tutti gli script sui vostri siti (uso Opera) kaspersky non ha infatti più notificato nulla.
Qualcun'altro con lo stesso comportamento?

grazie


Non è un falso positivo c'è uno script maligno [sito].in/stream?1 che reindirizza ad un sito con vari exploit java, pdf e scarica
http://www.virustotal.com/file-scan...72d9-1325590599

che dovrebbe essere il trojan zbot
bubbl404 Gennaio 2012, 08:38 #4
Originariamente inviato da: GmG
Non è un falso positivo c'è uno script maligno [sito].in/stream?1 che reindirizza ad un sito con vari exploit java, pdf e scarica
http://www.virustotal.com/file-scan...72d9-1325590599

che dovrebbe essere il trojan zbot


grazie mille, oggi comunque mi sembra tutto risolto pure con i banner di hwupgrade!
Piccioneviaggiatore05 Gennaio 2012, 02:18 #5
Un unico elemento in comune.....
il Mossad!

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^