Nyílt forrású keresőt adott ki az NSS Labs a Duqu ellen

A Duqu (vagy, ahogy itt-ott hivatkoznak rá "Stuxnet 2") egy trójai, amelynek felfedezése magyar vonatkozású. A Duqu egy, a Windows kernelben aktívan jelen levő sebezhetőséget használ ki. Javítás nincs, workaround létezik a hibára. A biztonsági szakembereket tömörítő, független NSS Labs mérnökei most egy nyílt forrású keresőeszközt adtak ki, amely szerintük képes az összes Duqu drivert észlelni. A bejelentés - amely számos információt tartalmaz a Duqu-ról - megemlíti, hogy a kereső 100%-ban detektálja a trójai drivereit "false positive", azaz ok nélküli riasztás nélkül.

Hozzászólások

a duqu iroi 1 evig szabadon garazdalkodhattak anelkul, hogy barki eszrevette volna
mindossze egy word doksit kellet megnyitni hogy atvegyek a gep iranyitasat.

vajon hany hasonlo mukodik jelenleg?
hogy-hogy nem vettek eszre?

----
mas:
a duqu is beleillik az obama doktrinaba, vagyis sokkal olcsobb modszerekkel probalja meg amerikai katonai celjait elerni (pl dronok)
http://www.nytimes.com/2011/11/06/sunday-review/the-secret-war-with-ira…
viszont pont az tortenik, mint az elso atombomba felrobbantasa utan. mindenki megtudja, hogy lehetseges es lemasolja. akarmekkora munka is volt a duqu megirasa, egy hasonlot csinalni mar sok csoport fog tudni

--
Live free, or I f'ing kill you.

Marha gagyi ez a kereső, sima minta alapú felismerést csinál feleslegesen hatalmas patternekkel, amelyek nem csak releváns kódszekvenciákat tartalmaznak... Elég egy bitet megváltoztatni a Duqu driverek érintett részein és már nem találja meg ez a python script.

Noha véges az időnk, mi is rájöttünk, hogy kell valamiféle általánosabb szkenner. a napokban szándékozunk kiadni egy pár open source detector komponenst tartalmazó toolkitet, ami nemcsak a drivert mutatja ki, de esetleg felfedezheti azt is, ha korábban volt fertőzés. Részletek később.

Ugyanakkor fontos megjegyezni, hogy a detektorok felhasználók felé publikálása egy sima hype. Nem fogják Mari nénit támadni a lekvárreceptjééért. Ugyanakkor lehet bérmilyen nagy célpont aki fel sem ismerte, hogy megtámadták, sőt még utólag sem tud róla. Ez pedig gáz, gondolom ti is érzitek. És itt már baromira nem mindegy, hogy ki mit futtat és futtathat le a rendszerén, úgy általában, ellenőrzés céljából.