マカフィーは、Stuxnetによく似たソースコードをもった新発見のマルウェア「Duqu」(デュークー)について、自社ブログで解説している。同社は、DuquがStuxnetの作成者、あるいは密接に関係する人間によるものと確認し、調査を続けている。
StuxnetとDuquとの大きな違いは、Stuxnetが主に産業用システムを狙ったものであるのに対し、Duquは標的型攻撃の一種であること。これまでの調査によれば、Duquのコードの攻撃対象は、これまではごくわずかなサイトに限られている。Duquのコードには、StuxnetのようなPLC機能こそ搭載していないものの、代わりに原型のStuxnetに似た機能をもつドライバや暗号化されたDLLをインストールする。
また、実行可能な日数があらかじめ決まっており、それ以降は実行しないこと、暗号化された拡張構成ファイルで制御されていること、通信先はインドにあるコマンドサーバーで、該当するIPアドレスはすでにISPのブラックリストに記載されていて機能していない、といった事実が明らかになっている。
一方で、Duquは標的に新しいコードをインストールするリモートコントロール機能を備え、なたプロセス実行やウィンドウメッセージなど、システムのあらゆるアクションを監視するキーロガーを含んでいる。さらに、キーロガーコンポーネントには、ユーザーモードルートキットを用いてファイルを隠す機能をもっている。
関連記事
