червь Duqu крадёт документы с описанием ИТ-инфраструктуры предприятия

Некоторое время назад новостные ресурсы писали об опаснейшем черве Stuxnet, который поражал специализированное ПО оборудования АЭС.

Так вот, сейчас эксперты из Symantec и McAfee обнаружили родственное червю Stuxnet зловредное ПО, уже получившее название Duqu. Duqu предназначен для кражи разного рода информации с промышленных объектов.

Информация, которую ищет червь, касается прежде всего документов с описанием ИТ-инфраструктуры предприятия. Вероятно, эти данные нужны злоумышленникам для осуществления последующих атак уже с целью установления контроля над разного типа промышленными системами. Как говорилось выше, Duqu является родственным червю Stuxnet, и содержит части кода, идентичные «атомному» родственнику. Специалисты делают предположение, что с Duqu работала та же команда, представители которой разрабатывали Stuxnet.

Дополнительный анализ червя провели представители McAfee, сообщившие, что Duqu также «работает» и в Африке, и на Среднем Востоке, а не только в Европе. Как только червь попадает в систему, сразу устанавливается кейлоггер, записывающий все действия пользователя, а также происходит поиск дополнительной системной информации. Червь может копировать список запущенных в системе процессов, информацию об аккаунте пользователя, а также информацию о домене. Делает он и скриншоты, записывает сетевую информацию, а также «исследует» файлы на всех доступных дисках, включая съемные и сетевые.
 

Подробнее
http://habrahabr.ru/blogs/infosecurity/130728/
http://www.computerworld.com/s/article/9221028/Symantec_McAfee_differ_on_Duqu_threat
http://www.symantec.com/connect/w32_duqu_precursor_next_stuxnet