神秘的雨刮器恶意软件可能连接到Stuxnet和Duqu，研究人员说

卡巴斯基实验室的安全研究人员发现了一些信息，暗示4月份攻击伊朗石油部电脑的神秘恶意软件与Stuxnet和Duqu网络间谍活动威胁之间可能存在联系。该数据在伊朗的多台服务器上遭到破坏，可能是一种新型恶意软件，国际电信联盟（ITU）要求安全厂商卡巴斯基实验室调查这些事件。卡巴斯基的研究人员无法找到神秘的恶意软件，被命名为Wiper，因为来自受影响的硬盘驱动器的数据很少可恢复。

[进一步阅读：如何从您的Windows PC中移除恶意软件]

然而，他们的调查导致发现了火焰和后来的高斯，两个高度复杂的网络间谍威胁据信是由一​​个民族国家开发的。卡巴斯基研究人员从受影响的硬盘驱动器中提取的信息中发现，实际上确实存在Wiper恶意软件，它使用了复杂而有效的数据擦除算法，并且很可能不是Flame组件。现在可以肯定地说，发生了这些事件，并且2012年4月存在导致这些攻击的恶意软件，“卡巴斯基全球研究和分析团队的研究人员周三在一篇博客文章中说。 “另外，我们也注意到自2011年12月以来发生的一些非常类似的事件。”

尽管与火焰的联系不太可能，但有证据表明雨刮器可能与Stuxnet或Duqu有关。

例如，在分析的一些硬盘驱动器上，研究人员发现一个名为RAHDAUD64的服务的踪迹，它从C： WINDOWS TEMP文件夹中加载名为〜DFXX.tmp的文件 - 其中XX是两个随机数字。

“当我们看到这一点时，我们立即回想起Duqu，它使用了这种格式的文件名，”研究人员说。 “事实上，Duqu的名字是由CrySyS实验室的匈牙利研究人员Boldizsar Bencsath创造的，因为它创建了名为？〜dqXX.tmp ??的文件。”

卡巴斯基的研究人员已经确定Stuxnet和Duqu都是由使用相同平台的同一个开发团队 - 被称为Tilded Platform，因为恶意软件使用名称以“〜”（代字号）符号开头的文件。

研究人员无法恢复〜DFXX.tmp文件，因为它们在Wiper的数据销毁程序中被垃圾数据覆盖

Stuxnet和Duqu的另一个可能的链接是这样的事实，即Wiper在数据擦除过程中显然优先考虑了.PNF文件的优先级。卡巴斯基研究人员表示，Duqu和Stuxnet的主要组件都保存在加密的.PNF文件中。

目前发现的证据并不能确定Wiper与Stuxnet或Duqu有关，事实可能永远不会发生研究人员表示，除非系统被发现，否则Wiper的数据销毁程序在某种程度上失败了，然而，如果它是相关的，那么它又是一个更大的难题，指向一个由民族国家主办的大型网络间谍活动和网络运营操作在中东地区。根据技术证据，卡巴斯基的研究人员已经根据技术证据确定Stuxnet，Duqu，Flame和Gauss是相互关联的。

根据纽约时报6月份的报道，引用奥巴马政府内部未提及的消息来源，Stuxnet联合由美国和以色列开发，是代号为奥运的秘密行动的一部分。