Duqu utnytter sårbarheter i Windows.

Slik oppdager du Duqu

Universitetsmiljøet som avslørte ormen, har laget åpen kildekodebasert verktøy.

Laboratory of Cryptography and System Security (CrySyS) ved det tekniske Universitetet i Budapest har gitt ut et åpen kildekodebasert verktøysett som skal kunne finne kjørende instanser av Duqu-ormen, eller spor etter tidligere infeksjoner.

Verktøyene kan kjøres på enkeltdatamaskiner eller i hele nettverk av datamaskiner.

Verktøysettet benytter signaturbaserte og heuristiske metoder. Det er i stand til å finne spor etter infeksjoner hvor komponenter som tilhører skadevaren allerede er fjernet fra systemet.

Ifølge CrySys er hensikten med verktøyene er å finne ulike typer uregelmessigheter og kjente indikatorer for tilstedeværelsen til Duqu på systemet som analyseres.

Dersom brukeren faktisk finnes spor etter Duqu, er det viktig at man ikke får panikk. CrySyS skriver at det er svært viktig å sikre spor, så i stedet for å slette filer, så bør man lagre materiale, slik som minnedumper og kopier av hele harddisker. Sannsynligvis bør man få noen med spesiell erfaring fra slikt arbeid til bistå eller å gjøre hele jobben.

Kildekoden til CrySyS Duqu Detector Toolkit kan brukes fritt i både kommersielle og ikke-kommersielle verktøy.

CrySys hadde en betydelig rolle i avsløringen av Duqu tidligere i høst. Det var det ungarske laboratoriet som døpte ga ormen dens navn. Duqu har mange likheter med den beryktede Stuxnet-ormen som ble oppdaget i fjor sommer.

    Les også:

Til toppen