与STUXNET（震网病毒）不同的是，从DUQU的代码来看，它的目的并不是为了访问和攻击SCADA，而是倾向于盗窃感染系统中的相关信息。

    DUQU是由几个部分组成。其中的SYS文件（目前被检测为RTKT_DUQU.A），主要负责激活恶意程序并且触发执行其他例程。经过分析，我们发现该文件存在的主要目的是建立自身与其C&C服务器的连接。也就是说，DUQU将会通过此连接将窃取信息的病毒（目前被检测为TROJ_SHADOW.AF）放入受感染电脑。经过确认该病毒（TROJ_SHADOW.AF）的恶意代码与STUXNET（震网病毒）的相关代码非常相似。

    一旦TROJ_SHADOW.AF被运行，他将枚举系统中所有目前正在运行的进程。确认是否有以下安全相关的进程：

    · avp.exe（Kaspersky卡巴斯基）

    · Mcshield.exe（McAfee麦克菲）

    · avguard.exe（Avira小红伞）
 
   · bdagent.exe（Bitdefender比特梵德）

    · UmxCfg.exe （CA）

    · fsdfwd.exe（F-Secure）

    · rtvscan.exe andccSvcHst.exe （Symantec赛门铁克）

    · ekrn.exe （ESET）

    · RavMonD.exe（Rising瑞星）

   如果发现这些进程，TROJ_SHADOW.AF会加载一个处于暂停状态的相同进程，将恶意代码注入该进程后恢复执行。这样系统中将会有两个杀毒软件进程，第一个是原始进程，而后面一个就是被病毒修改过的。

    TROJ_SHADOW.AF需要使用命令行来正确执行。可用的命令包括：收集感染系统的信息，终止恶意软件进程，删除自身。它能够收集感染系统中的许多类型信息，例如：

    1.驱动器信息：磁盘空间、驱动设备名称；

    2.桌面截图；

    3.正在运行的进程所属用户名；

    4.网络信息：

    IP地址

    路由表

    TCP/UDP表

    DNS缓存表

    本地共享

    5.本地共享目录和已连接用户；

    6.可移动存储设备序列号；

    7.窗口名称；

    8.使用NetFileEnum获取到的系统中打开的文件的信息。

    如果有关于该病毒进一步发现，我们将继续更新此信息。目前，趋势科技防毒产品可以防护来自于这种新病毒的供给。趋势科技SPN智能防护网显示，尚未有趋势科技用户感染此病毒。趋势科技技术部门也尚未接到有关于该病毒的案件。

第四十一届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。