Catalin Cosoi, Responsable de amenazas online de BitDefender
Ayer por la tarde recibimos una nueva amenaza identificada como Win32.Duqu.A que disparaba una rutina heurística. Un vistazo más de cerca nos reveló que no se trata de uno más de los millones de ejemplares que recibimos en BitDefender Lab.
Esta amenaza tiene un gran parecido con el gusano Stuxnet, que saltó a la fama a finales de 2010, después de haber sido utilizado para sabotear el programa nuclear iraní.
Esta vez, sin embargo, el componente principal del programa malicioso Duqu es un controlador de rootkit, un archivo que protege a otros tipos de malware contra los mecanismos de defensa del sistema operativo o incluso del propio antivirus.
El código del rootkit es muy similar al identificado en Stuxnet hace más de un año, y a juzgar por la primera impresión, uno podría imaginar que los responsables de Stuxnet están de vuelta con una herramienta más para terminar lo que empezaron en el 2010.
Sin embargo, un aspecto menos conocido es que el rootkit de Stuxnet ha sido víctima de ingeniería inversa y ha sido publicado en Internet. Es cierto que el código liberado todavía necesita algunos ajustes, pero un creador de malware experimentado podría utilizarlo como inspiración para sus propios proyectos.
Creemos que el equipo detrás del incidente Duqu no está relacionado con el que publicó Stuxnet en 2010, por una serie de razones:
1. El propósito de esta nueva amenaza es diferente. Mientras que Stuxnet se ha utilizado para el sabotaje militar, Duqu no busca más que recopilar información de los sistemas en peligro y debe ser considerado como un keylogger (ladrón de contraseñas) sofisticado. Dado que las bandas criminales rara vez cambian su especialidad principal, nos inclinamos a decir que una banda que se centró en el sabotaje militar no cambiaría su enfoque para atacar a empresas civiles.
2. La reutilización del código es una mala práctica en la industria, sobre todo cuando este código ha sido empleado en amenazas “legendarias” como Stuxnet. Por ahora, todos los fabricantes de antivirus han desarrollado heurísticas fuertes (detección por comportamiento) y otras rutinas de detección de la industria contra amenazas conocidas e importantes como Stuxnet o Conficker. Cualquier variante de estos códigos es probable que termine siendo detectado por esas rutinas de detección.
En todo caso, aunque el responsable de este malware es probable que no sea el mismo que quien creó Stuxnet, los usuarios deben extremar las precauciones y mantener instalada y actualizada una solución de seguridad para su ordenador.
