Des chercheurs de
Symantec ont découvert une nouvelle variante du malware W32.Duqu qui a été
conçu pour échapper à certaines détections d'antivirus. C'est la première
version modifiée de Duqu trouvée en 2012.
Le fichier analysé
contient seulement une des composantes de la menace Duqu. Cependant le fichier
du chargeur permet de charger le reste du malware lorsque l'ordinateur
redémarre.
Après analyse du
rapport, la date de compilation sur le nouveau composant est du 23 Février 2012
donc cette nouvelle version n'est pas restée très longtemps dans la nature.
Cette nouvelle
variante est livrée avec un nouvelle algorithme de cyptage pour crypter un
autre composant sur le disque dur de la victime. Une autre différence notable
est que cette variante a été signé avec un certificat valide alors que
l'original en possédait un volé. A ce niveau là, il fait semblant d'être un
pilote Microsoft Class.
Cette découverte
nous indique clairement que les auteurs de Duqu poursuivent toujours leur
opération.
Aucun commentaire:
Enregistrer un commentaire