Mis en lumière il y a deux semaines par Symantec, le ver W32.Duqu se dévoile petit-à-petit. Alors que l'Inde a récupéré de nombreuses informations sur ce malware à l'occasion de la fermeture de plusieurs serveurs à Mumbai, le laboratoire hongrois CRYSYS semble avoir découvert la façon dont Duqu contamine les ordinateurs ciblés.
Le fichier d'installation se cacherait dans un fichier Word (.doc) envoyé par email aux utilisateurs. Une fois ouvert, ledit fichier exploiterait une vulnérabilité du kernel de Windows pour exécuter du code et infecter la machine par le biais de service.exe. Les ordinateurs contaminés peuvent ensuite être contrôlé à distance par les attaquants, qui peuvent propager le virus sur un réseau et récupérer des données au passage. Symantec a publié hier un schéma résumant l'exécution de l'intrusion.
Contacté par l'éditeur, Microsoft a assuré travailler actuellement sur un correctif pour colmater la brèche. « Nous publierons bientôt une mise à jour de sécurité pour nos clients » résume une déclaration de la firme de Redmond.
Grâce à cette nouvelle découverte, les chercheurs en sécurité sont aujourd'hui certains que Duqu a pour objectif de s'attaquer à des cibles précises via des documents Word conçus pour paraître légitimes. Symantec a identifié 6 organisations contaminées, réparties dans 8 pays : l'Iran, le Soudan, le Vietnam, l'Inde, la France, les Pays-Bas, la Suisse et l'Ukraine. Une liste à laquelle s'ajoutent des identifications réalisées par d'autres experts en Autriche, Hongrie, Indonésie et au Royaume-Uni.
Reste aujourd'hui à savoir si les futures corrections apportées par Microsoft suffiront à endiguer le problème. A l'heure actuelle, la source de W32.Duqu n'a pas encore été identifiée.
Pays touchés par W32.Duqu
