W32.Duqu : Un Stuxnet revu et corrigé ?

Via Zero Day :

Contrairement à ce que le nom pourrait laisser supposer, « Duqu » n’est pas un malware qui va vous pourrir la vie avec des popups de pr0n… Il s’agit en réalité d’un possible début du prochain Stuxnet d’après Symantec.

En effet les binaires récupérés par un « labo de recherche ave de fortes connexions internationales » montre d’étrange similarités avec le ver Stuxnet.
L’article de Symantec indique aussi que les fichiers ont été récupérés sur des ordinateurs situés en Europe (et si il y avait un lien avec Areva ?).

La principale différence entre Stuxnet et Duqu c’est l’utilité finale. Pour Stuxnet l’objectif était de saboter les systèmes PLC iraniens. Pour Duqu c’est un RAT permettant d’espionner et de voler des informations.

Duqu utilise un C&C situé en Inde, disposait d’un certificat valide et se supprime tout seul après 36 jours.
Symantec a mis à disposition un rapport de leur analyse au format PDF.
Beaucoup de questions restent en suspens sur le fonctionnement du ver et son origine…

13 réflexions au sujet de « W32.Duqu : Un Stuxnet revu et corrigé ? »

  1. quelqu’un m’a laisser son laptop avant de partir en vacance ^^ et apparemment il est infecter par duqu :p~~ (il y a les fameux ~DFxxx.tmp dans le temp de WIN32), si quelqu’un sait comment dumper ce truc (oui enfin quoi dumper plutôt), et si il est encore la -_-.

Les commentaires sont fermés.