• Tweet

Investigadores de Symantec descubrieron una variante del gusano Stuxnet que denominaron Duqu, este malware roba información de sistemas de control industrial y ya se encuentra en más de una red, lo que indica que es posible que esté siendo usado para hacer reconocimiento y planear un ataque en el futuro.

Según el reporte de Symantec, este gusano W32.Duqu, fue identificado el 14 de octubre y ya se ha esparcido a más de una red en Europa. También mencionaron que Duqu es la versión 2.0 de Stuxnet, y que gracias al análisis realizado a la muestra pudieron identificar que comparte el código original de Stuxnet y también tiene una estructura modular. Por estas razones, se cree que fue escrito por las mismas personas, de igual manera Duqu firma sus controladores utilizando un certificado válido de C-Media electronics.

A diferencia de Stuxnet , que realizaba acciones ofensivas contra los sistemas de control industrial, Duqu sólo roba información del sistema que pueda utilizarse en un ataque posterior.

La empresa anti-malware F-Secure mencionó que su software ya tiene la capacidad de detectar a Duqu y lo identifica como "Gen:Trojan.Heur.FU.fuW@aGQd0Wpi", reveló en un post de Twitter el CEO de la compañía.

El gusano toma el nombre por el prefijo DQ que utiliza para nombrar a uno de sus componentes. Cuando se ejecuta Duqu inyecta código en cuatro procesos comunes en Windows: Explorer.exe iexplore.exe, Firefox.exe y PCcNTmon.exe, una vez instalado descarga el payload, un componente que roba la información del sistema infectado, y la almacena en archivos cifrados que envía al sistema del atacante. Parte de la información que roba, es la lista de procesos en ejecución, los drivers instalados en el equipo, las unidades de red, la información de cuentas y dominios, incluso toma capturas de pantalla que guarda y envía al atacante.