virus_4Depuis quelque jours un virus nommé « Duqu » se propage grâce à un fichier d’installation contenu dans un document Word envoyé en e-mail. Une fois ouvert, le fichier exploite une vulnérabilité du moteur d’analyse de font (TTF) Win32k TrueType et peut infecter un poste par le biais de service.exe.

C’est le le laboratoire de recherche qui l’a découvert en octobre qui l’a ainsi baptisé « Duqu » car il génère des fichiers comportant le préfixe « DQ » et partage une bonne partie de son code source avec « Stuxnet » à l’origine des récentes attaques contre le programme nucléaire iranien.
Son but n’est pas de saboter directement un système de contrôle industriel mais plutôt de collecter des données de systèmes de contrôle dans l’industrie, et ceci afin de lancer des attaques plus facilement contre des tierces parties,Duqu peut donc profiter d’une faille de sécurité de Windows qui à l’heure actuelle n’est toujours pas corrigée pour s’introduire dans un ordinateur en se cachant dans un document Word.

Si Microsoft a publié une solution temporaire pour se prémunir des codes d’exploitation liés au virus Duqu (ciblant les systèmes informatiques industriels), elle n’entend corriger cette faille que lors des mises à jour du 13 décembre.

Loin de rester les bras croisés, le laboratoire de recherche hongrois CrySyS qui a alerté Symantec de l’existence de ce malware a publié un outil permettant de le détecter.

Baptisé Duqu Detector Toolkit V1.01, ce petit programme Open Source détecte les infections liées à Duqu.En outre, Duqu Detector Toolkit est doté d’un composant qui permet de lister les éventuelles données qui ont été subtilisées par ce malware.

Télécharger le Correctif Microsoft ici

Telecharger Duqu Detector Toolkit V1.01 ici

Guissguiss

[email protected]