El laboratorio acreditado con el descubrimiento del malware Duqu ha construido un conjunto de herramientas de código abierto que los administradores pueden utilizar para ver si sus redes están infectadas.
El Detector Duqu Toolkit v1.01 busca archivos sospechosos que deja Duqu, troyano que ha generado revuelo en la comunidad de seguridad, dada su naturaleza furtiva y algunas características que comparte con otra famosa pieza de software malicioso, Stuxnet.
El Laboratorio de Criptografía y Seguridad de Sistemas (CrySys), parte de la Universidad de Tecnología y Economía de Budapest con sede en Hungría, escribió en sus notas de lanzamiento que la guía, compuesta por cuatro elementos, busca ciertos archivos extraños para iniciar la infección. CrySys dijo que la guía debería detectar una infección activa real de Duqu, pero es posible obtener un falso positivo, por lo que advirtió de que los administradores tendrán que analizar los resultados.
Herramientas forenses independientes, como la desarrollada por CrySys, son importantes ya que brindan a las víctimas de Duqu una mejor imagen de cómo fueron atacados, dijo Costin Raiu, director de la investigación mundial y el equipo de análisis de Kaspersky Lab. El software antivirus no da la misma información y se centra en detectar y bloquear un ataque. "La herramienta publicadas por CrySys es de primera clase", dijo Raiu. "Por supuesto, todo esto se puede hacer manualmente, pero las herramientas hacen que sea mucho más fácil de detectar anomalías en equipos infectados por Duqu."
La herramienta también tiene un componente que podría permitir a las víctimas de Duqu averiguar qué datos ha robado. Costin dijo que los datos robados se almacenan en archivos que terminan en "DQ" -de ahí el nombre del malware- y en "DF".
"Estoy seguro de que ninguna víctima quiere saber lo que les fue robado", dijo Raiu.
Otra compañía también lanzó una herramienta de detección para la detección de Duqu. La herramienta de NSS Labs es un script que busca en determinadas cadenas de conductores empleados por Duqu.
Microsoft se encuentra en el proceso de creación de un parche para la vulnerabilidad de software utilizado por Duqu para infectar los equipos. A CrySys también se le atribuye el descubrimiento de que Duqu utiliza una vulnerabilidad de Windows desconocida para infectar los equipos después de examinar un archivo de instalación.
Una infección Duqu podría ocurrir si una persona fue engañada para que abra un documento malintencionado de Microsoft Word enviado por correo electrónico a la víctima. La vulnerabilidad se encuentra en Win32k Windows, motor de análisis de fuentes TrueType. Microsoft ha publicado una herramienta para bloquear temporalmente los ataques hasta que el parche está listo.
No hay comentarios:
Publicar un comentario