La difusión a través de Internet de varias versiones del programa malicioso Duqu se ha convertido en una noticia clave para la industria de la seguridad. Esto se debe en gran parte a algunas similitudes entre este nuevo gusano y Stuxnet. Lo que es alarmante en esta ocasión es que el objetivo de Duqu sigue siendo desconocido.
Kaspersky Lab confirma que ha habido otro caso de infección por parte de Duqu en un país de la zona Noreste de África. Los expertos de la compañía todavía están investigando el caso, monitorizando los movimientos y la situación con el fin de analizar las metas geográficas de Duqu; aunque está resultando difícil, ya que está infectando a un número muy pequeño de sistemas muy específicos en todo el mundo.
Expertos analistas de Kaspersky Lab han llevado a cabo un exhaustivo análisis del nuevo malware. Las principales conclusiones son que Duqu es un sofisticado troyano que parece escrito por los mismos autores del gusano Stuxnet. Su principal objetivo es funcionar como una puerta trasera en el sistema y permitir el robo de información confidencial. Esta es la principal diferencia con Stuxnet, que fue creado para el sabotaje industrial. También es importante señalar que mientras Stuxnet es capaz de replicarse de un ordenador a otro recurriendo a varios mecanismos, Duqu es un troyano que no parece replicarse por sí mismo.
Duqu fue detectado a principios de septiembre de 2011, cuando un usuario en Hungría cargó uno de los componentes del software malicioso en el sitio web de Virustotal, que analiza los archivos infectados con programas anti-virus de diferentes fabricantes (incluidos los de Kaspersky Lab). Sin embargo, en esta primera muestra detectada sólo aparecía uno de los distintos componentes que conforman la totalidad del gusano. Un poco más tarde, de una manera similar, los expertos de Kaspersky Lab recibieron una muestra de otro módulo del gusano a través de Virustotal, y fue concretamente ese análisis el que permitió encontrar una semejanza con Stuxnet.
Aunque hay algunas similitudes generales entre los dos gusanos (Duqu y Stuxnet), también existen diferencias significativas. Poco después de encontrar varias variantes de Duqu, los expertos de Kaspersky Lab comenzaron un seguimiento en tiempo real de sus intentos de infección entre los usuarios de Kaspersky Security Network. Lo sorprendente fue que durante las primeras 24 horas sólo un sistema fue infectado por el gusano. Stuxnet, por el contrario, ha infectado a decenas de miles de sistemas en todo el mundo, aunque se supone que había un objetivo último, que eran los sistemas de control industrial utilizados en los programas nucleares de Irán.
La única infección del gusano entre los usuarios de Kaspersky Security Network procede de uno de los módulos que supuestamente conforman Duqu. Los casos de infección del segundo módulo, que es, en esencia, un programa malicioso separado - un troyano-espía - aún no han sido encontrados. Es este módulo de Duqu en concreto el que posee la funcionalidad maliciosa, recoge información sobre la máquina infectada y también pistas sobre las pulsaciones de teclas hechas en los teclados.
Alexander Gostev, experto jefe de seguridad de Kaspersky Lab, afirma: "No hemos encontrado ningún caso de infección en los ordenadores de nuestros clientes con el módulo de Trojan-Spy de Duqu. Esto significa que Duqu puede estar dirigido a una pequeña cantidad de objetivos específicos y diferentes módulos pueden ser utilizados para desarrollar cada uno de ellos".
Uno de los misterios sin resolver de Duqu es su método inicial de penetración en un sistema: el instalador o el "dropper" necesario no se ha encontrado aún. Continúa la búsqueda de este módulo de Duqu ya que será el que ayude a encontrar el objetivo final de este programa malicioso. Todas las versiones del gusano Duqu son detectados por los antivirus de Kaspersky Lab.
Más información acerca de este tema
aquí.
Crear cuenta