El 18 de octubre, recibimos una nueva amenaza identificada como Win32.Duqu.A que disparaba una rutina huerística. Un vistazo más de cerca nos reveló que no se trata de uno más de los millones de ejemplares que recibimos en BitDefender Lab
Esta amenaza tiene un gran parecido con el gusano Stuxnet que saltó a la fama a finales de 2010, después de haber sido utilizado para sabotear el programa nuclear iraní.
Esta vez, sin embargo, el componente principal del programa malicioso Duqu es un controlador de rootkit, un archivo que protege a otros tipos de malware contra los mecanismos de defensa del sistema operativo o incluso del propio antivirus. El código del rootkit es muy similar al identificado en Stuxnet hace más de un año, y a juzgar por la primera impresión, uno podría imaginar que los responsables de Stuxnet están de vuelta con una herramienta más para terminar lo que empezaron en el 2010.
Sin embargo, un aspecto menos conocido es que el rootkit de Stuxnet ha sido víctima de ingeniería inversa y ha sido publicado en Internet. Es cierto que el código liberado todavía necesita algunos ajustes, pero un creador de malware experimentado podría utilizarlo como inspiración para sus propios proyectos. Creemos que el equipo detrás del incidente Duqu no está relacionado con el que publicó Stuxnet en 2010, por una serie de razones:
1. El propósito de esta nueva amenaza es diferente. Mientras que Stuxnet se ha utilizado para el sabotaje militar, Duqu no busca más que recopilar información de los sistemas en peligro y debe ser considerado como un keylogger (ladrón de contraseñas)sofisticado. Dado que las bandas criminales rara vez cambian su especialidad principal, nos inclinamos a decir que una banda que se centró en el sabotaje militar no cambiaría su enfoque para atacar a empresas civiles.
2. La reutilización del código es una mala práctica en la industria, sobre todo cuando este código ha sido empleado en amenazas legendarias como Stuxnet. Por ahora, todos los fabricantes de antivirus han desarrollado heurísticas fuertes (detección por comportamiento) y otras rutinas de detección de la industria contra amenazas conocidas e importantes como Stuxnet o Conficker. Cualquier variante de estos códigos es probable que termine siendo detectado por esas rutinas de detección.
En todo caso, aunque el responsable de este malware es probable que no sea el mismo que quien creó Stuxnet, los usuarios deben extremar las precauciones y mantener instalada y actualizada una solución de seguridad para su ordenador.
Por Catalin Cosoi, Responsable de amenazas online de BitDefender
Sobre BitDefender:
BitDefender es la compañía fabricante de una de las líneas de software de seguridad más rápidas y efectivas de la industria certificada internacionalmente. Desde sus inicios en 2001, BitDefender ha ido incrementando y creando paulatinamente nuevos estándares de seguridad en cuanto a la prevención proactiva de amenazas se refiere. Cada día, BitDefender protege a decenas de millones de usuarios tanto en el ámbito doméstico como en el empresarial en todo el mundo proporcionándoles la tranquilidad de saber que sus experiencias digitales se realizan de manera segura. Las soluciones BitDefender se distribuyen a través de una red global de distribuidores de valor añadido en más de 100 países de todo el mundo. Para más información sobre BitDefender y sus soluciones de seguridad, visite la página web de la compañía: www.bitdefender.es. Además, el portal de seguridad creado por BitDefender www.malwarecity.com, ofrece información actualizada sobre las amenazas de seguridad y que ayudarán al usuario a estar al día en su batalla diaria frente al malware.
Acerca de Adyton Systems
Adyton Systems es una empresa de tecnología ubicada en Leipzig, Alemania. NETWORK PROTECTOR redefine el concepto de firewall de próxima generación. Adyton Systems ha desarrollado la nueva tecnología de lista blanca de completa validación como el núcleo de su red de cortafuegos PROTECTOR. Utiliza el motor de inspección profunda de paquetes (DPI) más avanzado disponible en el mercado de un nivel con un gran nivel de visibilidad y control. NETWORK PROTECTOR es fácil de configurar y administrar, incluso para usuarios no expertos y proporción la seguridad máxima para la red corporativa.
www.adytonsystems.com
