Detektor Duqu już dostępny

Detektor Duqu już dostępny

14.11.2011 12:51

Badacze z laboratorium węgierskiego CrySyS, które ma spore zasługi w identyfikacji mechanizmu rozprzestrzeniania się Duqu, stworzyło wykrywacz obecności robaka.

Trojan atakujący zakłady przemysłowe wykorzystuje lukę w jądrze systemu Windows. Microsoft zamierza dostarczyć poprawkę na wykorzystywaną przez robaka dziurę w Win32k.sys, ale póki co dostępne jest jedynie tymczasowe rozwiązanie. Tymczasem Duqu już znaleziono w Austrii, Francji, Holandii, Szwajcarii, Indiach, Iranie, Indonezji, Sudanie, Wietnamie, na Ukrainie i na Węgrzech.

Opracowany przez węgierskie laboratorium Duqu Detector składa się z narzędzi skanujących dyski potencjalnie zainfekowanego systemu, pliki PNF o podejrzanie wysokiej entropii, pliki PNF bez powiązanych plików INF, oraz pliki tymczasowe charakterystyczne dla robaka. Skanowanie odbywa się na podstawie połączenia analizy sygnatur i analizy heurystycznej, a wyniki zapisywane są w logach, które najlepiej przekazać doświadczonej w temacie osobie. Analiza heurystyczna i analiza sygnatur, tak samo jak w programach antywirusowych, tu również może powodować pojawianie się zafałszowanych wyników i fałszywych alarmów. Narzędzia dostępne są na licencji GPLv3.

Inny wykrywacz Duqu, który skupia się na skanowaniu dysków w poszukiwaniu wzorców, został udostępniony przez NSS Labs. Skrypt w języku Python jest dostępny na GitHubie na licencji BSD.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (6)