Ms detalles sobre Duqu

Escrito por Computerworld Mxico el 3 Noviembre 2011 y tiene comentarios

Debido a que se han encontrado ms muestras de Duqu, se han dado a conocer nuevos datos sobre cmo funciona este malware. Lo ms relevante es el uso de vulnerabilidades de Microsoft desconocidas -hasta ahora- para instalarse, como lo hizo su antecesor Stuxnet. Al parecer el troyano vena escondido en un archivo doc para Word. Consegua que la vctima inicial intentase ver el contenido del archivo a travs de ingeniera social. A partir de ah, se infectaba el sistema. Profesionales de seguridad sugieren que podramos estar hablando de dos vulnerabilidades: una en Word que permite la ejecucin de cdigo y otra en el kernel que permite la elevacin de privilegios. Para instalar drivers en el sistema como pretende Duqu, necesita los mximos privilegios. Por tanto, al igual que haca Stuxnet (que contena hasta cuatro 0 days para conseguirlo) le es muy til este tipo de exploits. Sin embargo, es posible que tambin aproveche otro vector como el Word para conseguir una primera ejecucin de cdigo. Sobre la replicacin, Duqu se difunde de forma "curiosa". No es una habilidad intrnseca sino que se le puede indicar a travs de comandos externos una vez instalado. As, los atacantes pueden ordenar al troyano por comandos externos que se replique en carpetas compartidas (a travs de tareas programadas, como hiciera Stuxnet). Ms interesante an es su comportamiento si el sistema no pudiese comunicarse con el C&C (centro de control) remoto por cualquier razn: en estos casos, toma la configuracin y rdenes de otros sistemas compartidos e infectados. Como una especie de P2P entre sistemas troyanizados si el "maestro" no se encuentra disponible. Por ltimo, otro dato interesante es que en cada vctima se han encontrado un conjunto de archivos diferentes, gobernados por un C&C "dedicado" por cada compaa atacada.