Sécurité IT : Symantec détecte une nouvelle version du ver Duqu

Les chercheurs en sécurité informatique de Symantec ont détecté une nouvelle version de Duqu dans la nature.

Le malware est un cheval de Troie très perfectionné, qui a été détecté pour la première fois fin 2011.

Il s’agit d’une variante du ver industriel Stuxnet, qui s’était illustré en sabotant les centrifugeuses du programme nucléaire iranien.

Il ne révèle ses secrets que lentement, des experts comme Kaspersky n’ayant réussi à déterminer le langage de programmation utilisé dans son module principal que la semaine dernière.

Symantec n’a pas pu observer l’ensemble de la nouvelle version du malware présenté comme un logiciel espion.

Le fichier reçu par l’éditeur de sécurité IT ne contenait que le vecteur d’attaque, un faux driver se faisant passer pour un composant de Microsoft.

Son rôle est d’installer sur Windows le reste du code du trojan.

Symantec partage ce schéma explicatif sur le processus d’installation de Duqu, tiré de son livre blanc sur le sujet (voir en bas de l’article).

Cette nouvelle version aurait été compilée le 23 février 2012. Les précédentes éditions dataient de mars 2010 et d’octobre 2011.

Elle aurait en particulier implémenté des mesures de contournement des antivirus, sans arriver à redevenir totalement invisible.

Les autre changements opérés par les créateurs de Duqu sont pour l’instant inconnus, tant que le reste de son code n’aura pas été détecté par une des nombreuses équipes se consacrant à l’étude du cheval de Troie.

Logo : © freshidea – Fotolia.com