Nyílt forrású keresőt adott ki az NSS Labs a Duqu ellen

 ( trey | 2011. november 6., vasárnap - 14:20 )

A Duqu (vagy, ahogy itt-ott hivatkoznak rá "Stuxnet 2") egy trójai, amelynek felfedezése magyar vonatkozású. A Duqu egy, a Windows kernelben aktívan jelen levő sebezhetőséget használ ki. Javítás nincs, workaround létezik a hibára. A biztonsági szakembereket tömörítő, független NSS Labs mérnökei most egy nyílt forrású keresőeszközt adtak ki, amely szerintük képes az összes Duqu drivert észlelni. A bejelentés - amely számos információt tartalmaz a Duqu-ról - megemlíti, hogy a kereső 100%-ban detektálja a trójai drivereit "false positive", azaz ok nélküli riasztás nélkül.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

a duqu iroi 1 evig szabadon garazdalkodhattak anelkul, hogy barki eszrevette volna
mindossze egy word doksit kellet megnyitni hogy atvegyek a gep iranyitasat.

vajon hany hasonlo mukodik jelenleg?
hogy-hogy nem vettek eszre?

----
mas:
a duqu is beleillik az obama doktrinaba, vagyis sokkal olcsobb modszerekkel probalja meg amerikai katonai celjait elerni (pl dronok)
http://www.nytimes.com/2011/11/06/sunday-review/the-secret-war-with-iran.html
viszont pont az tortenik, mint az elso atombomba felrobbantasa utan. mindenki megtudja, hogy lehetseges es lemasolja. akarmekkora munka is volt a duqu megirasa, egy hasonlot csinalni mar sok csoport fog tudni

--
Live free, or I f'ing kill you.

hogy-hogy nem vettek eszre?

úgy hogy célzottan használták és nem próbálták széles körben terjeszteni, mint a botnet építészek a saját eszközeiket

(meg 36 nap után deaktiválta magát, így még kevésbé volt észrevehető)

Marha gagyi ez a kereső, sima minta alapú felismerést csinál feleslegesen hatalmas patternekkel, amelyek nem csak releváns kódszekvenciákat tartalmaznak... Elég egy bitet megváltoztatni a Duqu driverek érintett részein és már nem találja meg ez a python script.

Igaz! De van jobb?
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Ennél jobb víruskeresőt írtam 10 évesen, úgyhogy feltételezem bármelyik scanner hatékonyabb lehet, még talán a ClamAV is...

Noha véges az időnk, mi is rájöttünk, hogy kell valamiféle általánosabb szkenner. a napokban szándékozunk kiadni egy pár open source detector komponenst tartalmazó toolkitet, ami nemcsak a drivert mutatja ki, de esetleg felfedezheti azt is, ha korábban volt fertőzés. Részletek később.

Ugyanakkor fontos megjegyezni, hogy a detektorok felhasználók felé publikálása egy sima hype. Nem fogják Mari nénit támadni a lekvárreceptjééért. Ugyanakkor lehet bérmilyen nagy célpont aki fel sem ismerte, hogy megtámadták, sőt még utólag sem tud róla. Ez pedig gáz, gondolom ti is érzitek. És itt már baromira nem mindegy, hogy ki mit futtat és futtathat le a rendszerén, úgy általában, ellenőrzés céljából.

ne terelj, inkább azt mondd hol találtátok :)

@CrySysLab released a new open-source toolkit to detect #duqu traces and running Duqu instances. http://www.crysys.hu/duqudetector/