El Laboratorio de Criptografía y Seguridad de Sistemas (CrySyS) de la Universidad Técnica de Budapest, capital de Hungría; dio a conocer recientemente una nueva herramienta de código abierto capaz de detectar versiones activas de Duqu.
Se piensa que Duqu, un nuevo malware que se ha propagado en internet, oculto en archivos de Word que llegaban vía mail, es creación de los mismos piratas detrás de Stuxnet, una peligrosa amenaza que puso en jaque a una instalación estratégica de Irán.
La herramienta de CrySys tiene por objetivo detectar distintos tipos de irregularidades e indicadores conocidos que sugieren la presencia del virus. Desde el laboratorio pidieron a las compañías que no eliminen el material infectado y que lo compartan con empresas de seguridad informática para encontrarle rápidamente solución a todas sus variantes.
También recomendaron que los usuarios no empresariales o con pocos conocimientos en informática, en caso de encontrarse infectados, buscaran ayuda profesional.
La empresa de seguridad informática Kaspersky dio a conocer más detalles sobre la actividad de Duqu.
“Establecimos los puntos de entrada para penetrar los sistemas, fechas de los acontecimientos y varios hechos sobre la conducta de los atacantes. Esta información nos permite fechar una de las olas de ataque entre mediados y finales de abril de 2011. Los descubrimientos clave incluyen:
-Se creó un conjunto separado de archivos de ataque para cada víctima;
-Los ataques se realizaron mediante correo electrónico con un archivo .DOC adjunto;
-El envío de correos se realizó desde cuentas anónimas, probablemente mediante ordenadores comprometidos;
-Se conoce por lo menos una dirección que envió los correos electrónicos: [email protected];
-Se creó un archivo DOC separado para cada víctima;
-Después de ingresar en el sistema, los atacantes instalaron módulos extra e infectaron ordenadores vecinos;
-La presencia de los archivos ~DF.tmp y ~DQ.tmp en el sistema indica que sin duda una infección de Duqu”.
Fuente: viruslist.com
