Duqu-Schädling in neuer Version

[Christoph]

Zitat:

Das Trojanische Pferd Duqu, als Abkömmling des Sabotage-Wurms Stuxnet bekannt geworden, ist in einer neuen Variante gesichtet worden. Eine neue Fassung der Treiberdatei soll offenbar die Entdeckung durch speziell dafür erstellte Software unterlaufen.

Bereits kurz nach der Entdeckung der ersten Duqu-Exemplare im Herbst 2011 hatten Malware-Forscher die Ansicht vertreten, Duqu sei ein enger Verwandter des Stuxnet-Wurms. Die Ähnlichkeiten im Aufbau, in den Methoden und in der Funktionsweise deuteten darauf hin, dass die Duqu-Programmierer zumindest Zugriff auf die wirklichen Stuxnet-Quelltexte haben - nicht nur auf den im Internet kursierenden, disassemblierten Binär-Code.

Eine kürzlich entdeckte neue Duqu-Variante unterstreicht, dass die unbekannten Urheber weiterhin aktiv sind. Wie Stuxnet ist Duqu keinesfalls Massenware, die möglichst viele Rechner infizieren soll. Jede der bislang etwa 50 bekannten Duqu-Varianten ist offenbar auf ein bestimmtes Ziel abgestimmt. Symantec hat eine neuere Treiberdatei mit dem Dateinamen mcd9x86.sys entdeckt, die sich funktional nicht von den schon bekannten Versionen unterscheidet.

Costin Raiu, leitender Malware-Forscher bei Kaspersky Lab, geht davon aus, dass der neu kompilierte Treiber das Aufspüren mit dem von den Duqu-Entdeckern im Budapester CrySyS Lab erstellten Duqu-Detektor unterlaufen soll. CrySyS Lab hat in dieser Woche darauf reagiert und die neue Version 1.24 des quelloffenen Detektors bereit gestellt.

Quelle: http://www.pc-magazin.de/news/duqu-s...n-1265016.html