Le certificat utilise pour signer les .sys a semble-t-il ete vole, et bien que cache au sein du PDF (sauf son empreinte), il s'agirait d'un certificat de C-Media Eletronics Incorporation qui est maintenant revoque.
D'apres ce que j'ai lu, le but de Duqu est different de celui de Stuxnet et se concentre davantage sur le C&C que la proliferation et l'exploitation de vulnerabilites. Le rapport du "laboratoire" ne semble pas infirmer la presence de 0days dans les binaires.
Quelques liens:
- Symantec: http://www.symantec.com/connect/w32_duqu_precursor_next_stuxnet
- McAfee: http://blogs.mcafee.com/mcafee-labs/the-day-of-the-golden-jackal-%E2%80%93-further-tales-of-the-stuxnet-files
- F-Secure: http://www.f-secure.com/weblog/archives/00002255.html, http://www.f-secure.com/v-descs/backdoor_w32_duqu.shtml
- Norman: http://blogs.norman.com/2011/security-exposed/w32duqu-stuxnet-lite
- Rapports Virus Total: http://www.virustotal.com/file-scan/report.html?id=f2b631fcdf83b928661a7e09dd11fa640251a4850ff570436f3b16abef0fad10-1317395560 (soumission du 30 Septembre 2011), http://www.virustotal.com/file-scan/report.html?id=1cd11a596ad732e3513aac21bd7e43a9883544b1abc7b775bdbb104a3f61ce0f-1318645582 (soumission du 13 Octobre 2011)
- Contagio: http://contagiodump.blogspot.com/2011/10/duqu-rat-trojan-precursor-to-next.html
- Dell SecureWorks: http://www.secureworks.com/research/threats/duqu/
Edit: tableau & liens.
No comments:
Post a Comment