w32.duqu

[el-]

сегодня твиттер просто пестрит записями о новом очень похожем на стакснет семпле, названого duqu, ниже куча линков по теме в том числе отличный разбор от симантек и на данный момент пару семплов дрова, все что удалось найти ...

Duqu, son of Stuxnet raises questions of origin and intent
The old new Stuxnet...DuQu?
Duqu: Son of Stuxnet
Duqu - Next Major Cyber Weapon like Stuxnet
Analysis: Duqu Targets Certificate Authorities
The Day of the Golden Jackal – The Next Tale in the Stuxnet Files: Duqu
Duqu - Stuxnet 2
Virus Experts Warn of Stuxnet Variant "Duqu"
W32.Duqu: The Precursor to the Next Stuxnet

и самый интересный и полный пепер на тему от симантека тут

тема с семплами на kernelmode, в атаче семплы драйверов от туда, пасс: malware

 

[el-]

В дропере duqu таки нашли lpe 0day, о котором пока ничего не известно в плоть до мд5 файла дропера, хотя майкрософт подтвердила наличие уязвимости. По этому поводу пару линков

http://www.symantec.com/connect/w32-duqu_s...ero-day-exploit
http://www.zdnet.com/blog/security/windows...uqu-attack/9737

так же обновился основной пепер от симантека
http://www.symantec.com/content/en/us/ente...ext_stuxnet.pdf

плюс еще пару линков по теме duqu
http://blog.eset.com/2011/10/28/win32duqu-...the-rpc-edition
http://blog.eset.com/2011/10/25/win32duqu-it’s-a-date
http://www.securelist.com/ru/blog/40797/Ta...u_chast_pervaya
http://www.securelist.com/ru/blog/20776691...u_chast_vtoraya

а так же 100500 семплов с базами иды, которые я ковырял на досуге, мб кому то будет интересно.
http://www.sendspace.com/file/1bx3ku
pass: infected

 

[el-]

http://scadahacker.com/resources/duqu
http://www.securelist.com/en/blog/20819321...Malware_in_Iran

 

[greenzy]

смотрю драйвер jmnet7.sys
вроде идет взаимодействие с юзер модом

 

[el-]

http://www.securelist.com/en/blog/20819324..._and_TVs_Dexter
http://blog.w4kfu.com/post/new_method_of_injection

 

[steklo]

http://blog.w4kfu.com/post/new_method_of_injection

ага читали, кстати прикол, я этот метод видел еще в июне, автор длоадера писал приват версию когда начинал, только у него извороты покруче чутка были и у меня подозрение, что он продал обход, хотя может просто совпадение=)

 

[greenzy]

код выполнен красиво :punk: видно, что писали знающие люди

RtlInitUnicodeString(&DestinationString, L"ZwQuerySystemInformation");
xZwQuery = MmGetSystemRoutineAddress(&DestinationString);
v2 = 0;
if ( !xZwQuery
|| (NumberOfBytes = 0, ReturnLength = 0, (xZwQuery)(013, &ReturnLength, 0, &NumberOfBytes) != -1073741820)
|| !NumberOfBytes
|| (v3 = ExAllocatePool(0, NumberOfBytes), (v4 = v3) == 0) )
return 0;

 

[xaf0n]

Слил с offensivecomputing

Спойлер: 3 у вас 43

http://www.datafilehost.com/download-32a8edcd.html

 

[greenzy]

сигна на эксплойт Exploit.Win32.CVE-2011-3402.a

 

[el-]

http://www.cybersecurity.ru/crypto/137540.html
http://www.securelist.com/ru/blog/40855/Ta..._Jason_i_Dexter
http://www.securelist.com/en/blog/606/The_..._Duqu_Part_Five

Updated November 15th, 2011 http://www.securelist.com/en/blog/208193178/Duqu_FAQ

на виртотале ( сам не видел другие говорят ) появился обрезанный кусок сплоита ( ттф фонт ), видимо там оставили минимум для его детекта дабы все аверы могли добавить его в свои продукты

 

[паук]

А с чего они вообще взяли, что образец имеет отношение к "стухнету"? Помоему кроме целей, выбранных не случайно а умышленно - никакого сходства нет?

 

[KraZz]

http://habrahabr.ru/post/140288/ - Загадочный язык программирования фреймворка Duqu определён
мда, мля.. ав рулят %))), особенно плакалЪ поцталом с этого:

обратились к сообществу с просьбой помочь определить язык программирования, на котором написана троянская программа Duqu. Обнаруженная в октябре 2011 года, она до сих пор ставила в тупик экспертов.

«Лаборатория Касперского» сначала обратились к экспертам по реверс-инжинирингу, но те ничем не смогли помочь. Ясно было, что язык программирования — определённо не C++, не Objective C, не Java, не Python, не Ada, не Lua и ещё не 30 других языков программирования, которые они проверили. После нескольких месяцев безуспешных попыток анализа

Видел на крЭклабе тему
http://exelab.ru/f/index.php?action=vthrea...c=19667&page=-1 - Загадка фреймворка Duqu
посмотрел на картинки и сразу подумал, что класс на C++ написан, поржал над троллями и забыл, а они вот как оказалось дальше пошли свой примитивизм и позор на хабре зарелизили - ЛОЛ
этих аверов реально надо чмырить, может тогда, они действительно станут более адекватно думать, что писать
помню тот ЛОЛ с исходниками спая, когда уже год кряк для спая выкладывали, и кто-то там увидел и понес..
короче ЛОЛ на ЛОЛе и ЛОЛом погоняет %)))
ЗЫ: кстати сабж так и не стал смотреть.. может это чет другое, но с одинаковым именем Duqu, хз...

 

[Xech]

Слил с offensivecomputing
Скрытый текст требует сообщений 3 у вас 17
http://www.datafilehost.com/download-32a8edcd.html

перезалей пожалуйста.

 

[xaf0n]

Спойлер: 3 у вас 43

более новый сэмпл, слит от туда же.
http://www.datafilehost.com/download-3f862d62.html

 

[Xech]

а пароль на архив?

 

[Wolfomeo]

а пароль на архив?

пасс: malware не видно чтоли?

 

[xaf0n]

Пасс в квадратных скобках, в имени архива. infected