CrySys.hu:

Laborunk, a CrySyS Adat- és Rendszerbiztonság Laboratórium tovább folytatta a Duqu trójai elemzését, és a kutatás eredményeként azonosítottunk egy dropper fájlt, mely egy MS 0-day kernel hibát használ fel. A szükséges információkat azonnal továbbítottuk az  illetékes szakmai szervezeteknek, akik gondoskodni tudnak a felhasználók megfelelő védelméről.

Ha beesik konkrétabb infó, frissítem a posztot!

Friss1: A ZDNet értesülése szerint a trójait egy .doc fájlba csomagolták. Ha ez így igaz, kell lennie még egy kódfuttatást lehetővé tevő lépcsőnek a Word és a kernel exploit között.  

Friss2: Itt olvasható a Symantec kommentárja, sajnos a frissített whitepaper még nem látszik azon a szerveren, amit elérek. A célbajuttatáshoz használt dokumentum a biztonsági cég szerint kifejezetten a konkrét célpont számára készült. Egyesek arra tippelnek, hogy a kihasznált sebezhetőség közvetlenül rendszer szintű kódfuttatást eredményezhet a Wordből, a win32k.sys beágyazott betűkészlet feldolgozó alrendszerének hibáját kihasználva (egy régebbi ilyen jellegű sebezhetőségre van példa itt). De ez csak egy tipp. A legújabb eredmények szerint a trójai SMB megosztásokon keresztül is terjedhetett belső hálózatokon, és ezt a protokollt arra is felhasználta, hogy az interneteléréssel nem rendelkező gépek is kapcsolatot tudjanak tartani a C&C-vel a szomszédos, netes gépeken keresztül.  Az indiai C&C szervert idő közben lefoglalták, de most egy újabb irányító hosztra bukkantak Belgiumban. 

Friss3: Innen letölthetők a DuQu első mintái (jminet7.sys, cmi4432.sys, nfred965.sys)