DuQu es un gusano informático, descubierto el 1 de septiembre del 2011, el cual se cree que está relacionado con el gusano Stuxnet. El Laboratorio de Criptografía y Seguridad del Sistema (CrySyS) en Hungría de la Universidad de Tecnología y Economía de Budapest, que participó en el descubrimiento de Duqu en una colaboración internacional, analizo el malware y escribió un informe de 60 páginas, nombrando a la amenaza Duqu, obteniendo su nombre del prefijo “~ DQ” de los nombres de los archivos que crea.

Symantec, basado en el informe del CrySyS, continuó el análisis de la amenaza, que es “casi idéntica a Stuxnet, pero con un propósito completamente diferente” y publicó un documento técnico detallado sobre ella, el cual es una versión reducida del informe original del laboratorio CrySyS, este informe es como un apéndice.

Symantec cree que Duqu fue creado por los mismos autores de Stuxnet, o que los autores tuvieron acceso al código fuente de Stuxnet. El gusano, al igual que Stuxnet, ha forjado un certificado digital, y contiene información para prepararse para ataques futuros.

Como Stuxnet en sus días, Duqu también ataca los sistemas Windows utilizando una vulnerabilidad de ataque de día cero (0 day). El archivo de instalación está en un documento Microsoft Word (. Doc) malicioso que explota una vulnerabilidad en el controlador de sistema win32k.sys al tratar fuentes TrueType permitiendo que una aplicación que utilice estas, eleve privilegios y consiga un control total del sistema. El objetivo del malware DuQu es la librería T2EMBED.DLL que se conoce como motor de análisis de fuentes TrueType.

“Microsoft está colaborando con nuestros socios para proporcionar la protección para una vulnerabilidad utilizado en los intentos destinados a infectar las computadoras con el malware Duqu. Estamos trabajando diligentemente para abordar esta cuestión y dará a conocer una actualización de seguridad para clientes a través de nuestro proceso de boletines de seguridad”, dijo en un comunicado Jerry Bryant, gerente de grupo de comunicaciones de respuesta en el grupo de Microsoft’s Trustworthy Computing (Informática Fiable de Microsoft).

¿Duqu es una nueva versión de Stuxnet o la punta de lanza de una nueva generación de malware?

El 19 de Octubre  2011 por la tarde, el Laboratorio de BitDefender (BitDefender Lab) recibio una nueva amenaza identificada como Win32.Duqu.A que disparaba una rutina heurística. Un vistazo más de cerca les reveló que no se trataba de uno más de los millones de ejemplares que reciben en ese laboratorio.

Esta amenaza tiene un gran parecido con el gusano Stuxnet que saltó a la fama a finales de 2010, después de haber sido utilizado para sabotear el programa nuclear iraní.

Esta vez, sin embargo, el componente principal del programa malicioso Duqu es un controlador de rootkit, un archivo que protege a otros tipos de malware contra los mecanismos de defensa del sistema operativo o incluso del antivirus instalado en el sistema. El código del rootkit es muy similar al identificado en Stuxnet hace más de un año, y a juzgar por la primera impresión, uno podría imaginar que los responsables de Stuxnet están de vuelta con una herramienta más para terminar lo que empezaron en el 2010.

Sin embargo, un aspecto menos conocido es que el rootkit de Stuxnet ha sido víctima de ingeniería inversa y ha sido publicado en Internet. Es cierto que el código liberado todavía necesita algunos ajustes, pero un creador de malware experimentado podría utilizarlo como inspiración para sus propios proyectos. El Laboratorio de BitDefender cree que el equipo detrás del incidente Duqu no está relacionado con el que publicó Stuxnet en 2010, por las razones siguientes:

1. El propósito de esta nueva amenaza es diferente, mientras que Stuxnet se ha utilizado para el sabotaje militar, Duqu no busca más que recopilar información de los sistemas que infecta y debe ser considerado como un keylogger (ladrón de contraseñas) sofisticado. Dado que las bandas criminales rara vez cambian su especialidad principal, se inclinan a decir que una banda que se centró en el sabotaje militar no cambiaría su enfoque para atacar a empresas civiles.

2. La reutilización del código es una mala práctica en la industria, sobre todo cuando este código ha sido empleado en amenazas “legendarias” como Stuxnet. Por ahora, todos los fabricantes de las casas antivirus han desarrollado heurísticas fuertes (detección por comportamiento) y otras rutinas de detección de la industria contra amenazas conocidas e importantes como Stuxnet o Conficker. Para cualquier variante de estos códigos lo más probable es que termine siendo detectado por esas rutinas de detección.

En todo caso, aunque el que creó este malware lo mas es probable que no sea el mismo que diseño Stuxnet, los usuarios deben extremar las precauciones y mantener instalada y actualizada una solución de seguridad para su computadora. Las contramedidas a aplicar por los usuarios para neutralizar esta amenaza las pueden obtener en este enlace.

Traducción: Velcro

Fuentes:

Wikipedia

malwarecity.es

Anuncios