Венгерские исследователи из лаборатории криптографии и системы безопасности «CrySyS», выпустили набор инструментальных средств для выявления вредоносной программы «Duqu», сообщает «АйтиХак». Данный набор инструментов находит все файлы затронутые вирусом даже после того, как все его составляющие были удалены из системы.
«DuquDetector» - это программное обеспечение включает в себя четыре исполняемых инструмента, которые в свою очередь находят инфицированные «Duqu» системные драйвера, «PNF» файлы с «подозрительно высокой энтропией», временные файлы «Duqu» и «PNF» файлы с не соответствующим расширением «.inf». После проверки программа помещает данные результаты в файловый журнал для дальнейшего анализа.
Эти четыре инструмента интегрированы в один пакетный файл для более простого исполнения. Наряду с утилитой доступен и исходный код, для изучения программы пользователем и дальнейшего перекомпилирования после аудита. Хотя изначально было указано, что инструменты идут с открытым исходным кодом, они так и не были лицензированы под стандартную лицензию «FOSS». «The H Security» связывалась с «CrySyS» и в течение часа «CrySyS» повторно выпустила инструменты в соответствии с лицензией «GPLv3». Руководство на официальном сайте даёт более подробную информацию о работе инструмента, который уже доступен для бесплатной загрузки.
«NSS Labs» выпустила свой собственный детектор «Duqu» - сценарий «Python», которой основное внимание уделяет прежде всего соответствию образца, сканируя при этом системные драйверы. Лицензированный «BSD» скрипт можно получить из репозитория разработчика «GitHub».
Источник: it-hack.ru
