Computerworld News Service: Det samme hold forskere, der opdagede malwaren Duqu, har nu udviklet et open source-toolkit, som administratorer kan bruge til at finde ud af, om deres netværk er inficeret.
Duqu Detector Toolkit v1.01 leder efter mistænkelige filer efterladt af Duqu, som har skabt røre i it-sikkerhedsbranchen på grund af sin evne til at skjule sig samt visse egenskaber, den deler med et andet stykke skadeligt software, navnlig Stuxnet.
Laboratory of Cryptography and System Security (CrySys) på Budapest University of Technology and Economics i Ungarn skriver i sine udgivelsesnotater, at toolkittet, der består af fire værktøjer, leder efter mistænkelige filer, der kan bruges som tegn på en inficering.
Toolkittet bør kunne opdage en aktiv Duqu-inficering, men det er muligt at få en falsk positiv, så man er som administrator først nødt til at analysere resultatet grundigt, advarer CrySys.
Selvstændige analyseværktøjer som dette er vigtige, fordi de kan give ofre for Duqu et bedre billede af, hvordan de blev angrebet, påpeger Costin Raiu, der er global analysechef for Kaspersky Lab. Antivirussoftware giver ikke samme indsigt og fokuserer i stedet på at detektere og blokere angreb.
"Dette toolkit fra CrySys Lab er i verdensklasse," bedømmer Raiu. "Det kan selvfølgelig alt sammen gøres 'manuelt', men disse værktøjer gør det langt lettere at opdage uregelmæssigheder på Duqu-inficerede computere."
Toolkittet har også en komponent, der gør det muligt for ofrene at finde ud af, hvilke data Duqu har stjålet.
Stjålne data lagres i filer, der ender på "DQ" - deraf navnet på malwaren - og på "DF".
"Jeg er sikker på, at ethvert offer gerne vil vide, præcist hvad der er blevet stjålet," fremhæver Raiu.
Mindst ét andet firma har udgivet et værktøj, der kan opdage Duqu. Værktøjet fra NSS Labs er et script, der leder efter bestemte strenge i drivere, som Duqu benytter sig af.
Microsoft er i gang med at udvikle en rettelse af den sårbarhed, som Duqu udnytter. CrySys anerkendes desuden for i forbindelse med undersøgelse af en installer-fil at have opdaget, at Duqu udnytter en tidligere ukendt sårbarhed i Windows til at inficere computere.
Man kan blive inficeret med Duqu, hvis man narres til at åbne et skadeligt Word-dokument eksempelvis sendt per e-mail. Sårbarheden er i Windows' font parsing engine Win32k TrueType. Microsoft har offentliggjort en midlertidig løsning, der kan blokere angreb, indtil rettelsen er klar.
Oversat af Thomas Bøndergaard
