El Laboratorio de Criptografía y Seguridad de Sistemas (CrySyS) de la Universidad Técnica de Budapest en Hungria ha publicado un kit de herramientas de código abierto que puede ser utilizado para detectar versiones activas del gusano Duqu. Este kit de herramientas también detectan vestigios de infecciones anteriores y pueden ser utilizadas en computadoras independientes o en redes completas.

Han desarrollado un conjunto de herramientas detectoras que combina técnicas de detección sencillas para detectar infecciones de Duqu en una computadora o en toda una red. El kit de herramientas contiene los métodos basados en firma y heurística y es capaz de encontrar rastros de las infecciones en los componentes de los programas maliciosos si ya fueron eliminados del sistema.

La intención detrás de las herramientas es encontrar los diferentes tipos de anomalías (por ejemplo, archivos sospechosos) y los indicadores conocidos de la presencia de Duqu en el equipo analizado. Como otras herramientas de detección de anomalías, es posible que se generen falsos positivos. Por lo tanto, se necesita personal profesional para elaborar los resultados de los archivos de registro por el uso de la herramienta y decidir sobre nuevas medidas.

Esta kit de herramientas contiene el código fuente del programa muy sencillo y fácil de analizar, por lo que también se puede utilizar en entornos especiales, por ejemplo: en infraestructuras críticas, después de la inspección del código fuente (para comprobar que no hay ningún código malicioso o backdoor (puerta trasera) en el interior) y volver a compilar. El código fuente del kit de herramientas CrySyS Duqu Detector Toolkit puede ser utilizado libremente en herramientas comerciales y no comerciales.

El CrySyS destaca que si un usuario detecta a Duqu, o huellas de éste, es importante no sentir pánico. Este laboratorio indica que es altamente relevante asegurar huellas, por lo que se recomienda almacenar el material en lugar de borrarlo. Recuerde que para almacenar cualquier código malicioso se debe hacerlo en un archivo .ZIP, RAR o 7-zip para evitar siga haciendo daño. En cuanto a estos procedimientos admiten que para el usuario promedio quizás será necesario conseguir asistencia profesional.

El Laboratorio de Criptografía y Seguridad de Sistemas (CrySyS) de la Universidad Técnica de Budapest tuvo un papel altamente relevante en la detección de Duqu. De hecho, fue el laboratorio húngaro quien descubrió y le dio su nombre a Duqu, revelando además que el gusano se ocultaba y propagaba en documentos de Microsoft Word.

El gusano Duqu presenta características muy similares al gusano Stuxnet, detectado el pasado año, por lo que varios expertos en Seguridad Informatica atribuyen que los dos son de la misma autoría. Al respecto de esta cuestión, en el blog oficial de F-Secure el experto Mikko Hypponen escribía el 9 de octubre pasado lo siguiente: “Se ha creado una nueva puerta trasera, por quienes tienen acceso al código fuente de Stuxnet. Este código fuente no está en circulación, y sólo está en manos de los autores originales. Duqu ha sido creado por las mismas personas que programaron Stuxnet”.

Enlace de descarga de CrySyS Duqu Detector Toolkit

Fuentes:

diarioti.com

CrySyS

Anuncios