Détecter Stuxnet et Duqu 1.0
16 juin 2015
Alors que Kaspersky annonçait il y a quelques jours avoir été la victime du ver Duqu 2.0, je me suis intéressé aux outils de détections de Stuxnet et de Duqu 1.0 sur vos systèmes Windows. Sachez que, très curieusement, ils ne sont pas très légion.
Outils de détection pour Stuxnet
Pour Stuxnet, le plus simple est de recourir au scanner réseau Open Source, Nmap. Une fois installé sur votre système distant Linux ou Windows, il suffit de lancer la commande en remplaçant le host par l’adresse ip de votre machine :
nmap --script stuxnet-detect -p 445 host
Vous pouvez aussi utiliser le scanner fourni par Trend.
Outil de détection pour Duqu 1.0
Pour Duqu 1.0, un ver à forte viralité, le seul outil que j’ai trouvé est un script écrit en Python. Cet outil est beaucoup plus efficace si vous scannez vos systèmes de fichiers à froid. Il faut, pour cela, démonter les disques de vos machines et les scanner à partir de systèmes sûrs. Je vous recommande d’utiliser un Linux. Le script scanne la présence de la signature sur tous les fichiers du système de fichiers analysé.
Et pour Duqu 2.0 ?
Pour l’instant, il n’y a rien en magasin ! Le détail du fonctionnement du ver israélien est fourni dans un document établi par Kaspersky.