Дослідники ІБ-компанії Symantec зафіксували атаки із застосуванням нового трояна, націлені на південнокорейські організації. Функціонал шкідливий, охрещеного Duuzer, дозволяє зловмисникам отримати віддалений доступ до скомпрометованим комп'ютерам, завантажити додаткові файли і викрасти дані. Експерти відзначають, що, в основному, інтерес для злочинців представляють підприємства обробної промисловості. Передбачається, що за атаками стоять кваліфіковані професіонали, мета яких отримання цінної інформації.

Аналіз показав, що крім Duuzer, атакуючі поширюють ще дві загрози - W32. Brambul і Backdoor. Joanap (за класифікацією Symantec), які, по всій видимості, завантажують додаткову корисну навантаження і здійснюють шпигунську діяльність на інфікованих комп'ютерах.

Фахівцям важко сказати, яким саме способом здійснюється поширення Duuzer, але, вважають, що зараження відбувається через фішингову розсилку. Конструкція трояна дозволяє йому працювати на 32- і 64-розрядних комп'ютерах. Крім того, шкідливий уміє розпізнавати, чи є інфіковане пристрій віртуальною машиною, створеної за допомогою Virtual Box або VMware - у такому випадку Duuzer не проявляє ніякої активності.

Після інфікування троян встановлює бекдор, що дозволяє зловмисникам отримати доступ практично до всього.

Таким чином, вони можуть збирати інформацію про систему і дисках, створювати, нумерувати і закінчувати процеси, отримувати доступ, завантажувати, модифікувати і видаляти файли, а також змінювати тимчасові атрибути файлів і виконувати команди.

Для того щоб замаскувати шкідливий, зловмисники використовують цікаву тактику. Вони ідентифікують встановлене ПЗ, яке завантажується при запуску комп'ютера, а потім перейменовують троян під вже існуючу легальну програму.