Nombrado Duqu porque genera archivos que comienzan con ~DQ, este malware es un troyano creado como un sistema de control remoto, que ha sido usado para instalar un registrador de teclas en los sistemas infectados. En este sentido, se comporta como una botnet “tradicional” usando http y https para conectarse con su “command and control” (alojado en India), al que parece enviar información disfraza de imágenes JPG. A los 36 días, el troyano se borra a sí mismo. Al igual que Stuxnet, se trata de un driver (.sys) firmado digitalmente por una entidad legal a la que probablemente han robado su certificado.
A pesar de las similitudes, entre Stuxnet y Duqu hay varias diferencias. La primera es que Stuxnet contenía dentro de su código la contraseña por defecto “2WSXcder” para la base de datos central del producto SCADA WinCC de Siemens. El troyano conseguía acceso de administración de la base de datos. Duqu, por su parte, parece que simplemente se trata de un sistema de control remoto, pero que se ha encontrado en dependencias industriales europeas.
Un blog de seguridad citado por Symantec indicó que en vez de generar una sobrecarga para sabotear un sistema de control industrial, se han añadido capacidades de acceso remoto con la intención de obtener inteligencia de una entidad privada y así facilitar futuros ataques de terceros. Symantec cree que es un preparativo para futuros ataques de una nueva versión de Stuxnet y que fue diseñado para robar información de fabricantes de equipo industrial.
Sin embargo, el análisis de McAfee indica que el objetivo de Duqu es identificar a las autoridades emisoras de Certificados (CA) en algunas partes de Asia, Europa y Africa. Mientras que Symantec indicó que el certificado del virus parecía ser robado, McAfee sugirió que fue falsificado como resultado de un ataque directo. De hecho, Adam Wosotowsky, analista de investigación senior de McAfee, escribió un correo a la redacción de Computerworld en Estados Unidos indicando que se desconoce el verdadero propósito, pero se cree que busca llaves que le permitirían infiltrarse con mayor éxito en redes seguras.
Duqu no se replica además de que hasta el momento no se le ha descubierto ningún ataque de Día 0 contra Windows (0 day). Sin embargo, Duqu y Stuxnet se parecen mucho en su código. Esto quiere decir o bien que las mismas personas están detrás de esta nueva creación, o bien que se ha filtrado de alguna manera el código original.
La primera aparición de un componente de este troyano se da el 1 de septiembre de 2011, aunque por la fecha de compilación, se deduce que podrían haber sido creados a principios de diciembre de 2010.
De acuerdo con VirusTotal, fue visto por primera vez ese día 1 de septiembre. Entonces era detectado por AntiVir, BitDefender, F-Secure, GData y SUPERAntiSpyware (5 de 41) por heurística. Hoy en día, lo detectan 29 de 43 motores.
Con información de Jaikumar Viyajan, Computerworld US
