onsdag 15 februari 2012

Stuxnet har minst 4 kusiner

http://www.jpost.com/IranianThreat/News/Article.aspx?id=251421
Reuters
12/29/2011 15:29
Kaspersky bevaknings/antivirusföretag säger att viruset som skadat Irans kärnvapenprogram är program ett av minst fem som utvecklats på samma plattform.
Säkerhetsexperter anser allmänt att USA och Israel låg bakom Stuxnet, men de två nationerna har officiellt avböjt att kommentera saken.
En talesman för Pentagon på onsdagen avstod från att kommentera Kasperskys forskning, som inte spekulerar över vem som var bakom Stuxnet.
Relaterat:
Stuxnet har redan kopplats till ett annat virus, Duqu, en trojan specialiserad på datastöld, men Kasperskys forskning tyder på att cybervapenprogrammen riktade mot Iran kan bli långt mer sofistikerade än tidigare känt.
Kasperskys chef för global forskning och analys, Costin Raiu, sade till Reuters på onsdagen att hans team har samlat bevis som visar att samma plattform användes för att bygga Stuxnet och Duqu också användes till att skapa minst tre andra delar av skadlig kod.
Raiu sade plattformen består av en grupp kompatibla programvarumoduler designade för att passa ihop, alla med olika funktioner. Dess utvecklare kan bygga nya it-vapen genom att helt enkelt lägga till och ta bort moduler.
"Det är som ett Lego Du kan montera komponenter till vad som helst:. En robot eller ett hus eller en tank," sade han.
Kaspersky kallar plattformen "Tilded" eftersom många filer i Duqu och Stuxnet har namn som börjar med tilde symbolen "~" och bokstaven "D"
Forskare hos Kaspersky har inte hittat några nya typer av skadlig kod som bygger på Tilded plattform, sade Raiu, men de är ganska säkra på att de finns som delade komponenter av Stuxnet och Duqu som verkar att leta efter sina anhöriga.
När en maskin blir infekterad med Duqu eller Stuxnet söker de delade komponenterna på plattformen efter två unika registernycklar på datorn kopplad till Duqu och Stuxnet som sedan används för att läsa in de viktigaste bitarna av skadlig kod på datorn, sade han.
Kaspersky har nyligen upptäckt nya delade komponenter som söker efter minst tre andra unika registernycklar, vilket tyder på att utvecklarna av Stuxnet och Duqu också byggt minst tre andra delar av skadliga program som använder samma plattform, tillade han.
Dessa moduler hanterar uppgifter såsom att leverera den skadliga koden till en dator, installera det, kommunicera med sina operatörer, stjäla data och replikera sig själv.
Tillverkare av antivirusprogram inklusive Kaspersky, amerikanska företaget Symantec Corp och Japan Trend Micro Inc. har redan införlivat tekniken i sina produkter för att skydda datorer från att bli smittade med Stuxnet och Duqu.
Klicka här för full  täckning i Jerusalem Post av det iranska hotet.
Det skulle vara relativt lätt för utvecklarna av dessa mycket sofistikerade virus att skapa andra vapen som kan undvika upptäckt av anti-virus programmen genom ytterligare moduler i Tilded-plattformen, sade han.
Kaspersky menar att Tilded kan spåras tillbaka till åtminstone 2007 eftersom specifik kod som installeras av Duqu har sammanställts från en enhet som kör ett Windows-operativsystem daterat den 31 augusti 2007........

Tidigare på denna blogg.

http://www.dn.se/nyheter/varlden/iran-har-oskadliggjort-datavirus
http://svt.se/2.22584/1.2709965/iran_har_oskadliggjort_datavirus
http://www.skanskan.se/article/20120215/TTUTRIKES/302159996/1400/-/iran-har-oskadliggjort-datavirus
http://hd.se/inrikes/2012/02/15/iran-har-oskadliggjort-datavirus/
http://www.svd.se/nyheter/utrikes/iran-har-oskadliggjort-datavirus_6851811.svd
http://www.dagen.se/dagen/article.aspx?id=297858
http://www.laholmstidning.se/article/20120215/TTINRIKES/302159997/1399/-/iran-har-oskadliggjort-datavirus
http://www.svd.se/naringsliv/iran-har-oskadliggjort-datavirus_6851931.svd
http://st.nu/start/inrikes/1.4385385-iran-har-oskadliggjort-datavirus?articleRenderMode=article_full_discussion
http://svt.se/2.88971/1.2709965/iran_har_oskadliggjort_datavirus
http://arbetarbladet.se/nyheter/utrikes/1.4385727-iran-har-oskadliggjort-datavirus?articleRenderMode=article_full_discussion

Inga kommentarer:

Skicka en kommentar