Duqu, un virus sucesor de Stuxnet que aprovecha una falla de día cero en Word

El virus tiene similitudes con Stuxnet, pero no se sabe si fue creado por el mismo grupo. El virus también apuntaría a atacar sistemas industriales.

Duqu es un troyano que fue descubierto por sorpresa a fines de octubre, y que se considera como el sucesor del infame Stuxnet, creado con el objetivo de sabotear plantas nucleares. El virus, que se disfraza de documento de Word para infiltrarse en los sistemas, ya ha sido detectado Sudán, Irán, Vietnam, India, Francia, Holanda, Suiza y Ucrania, aunque todavía no se sabe exactamente qué es lo que hace.

Según CrySyS Labs, la firma húngara que lo descubrió, Duqu se aprovecha de una vulnerabilidad de día cero en Microsoft Word, teniendo como objetivo una vulnerabilidad en el kernel de Windows que permite instalar el malware. Cuando la víctima abre el documento de Word malicioso, los elementos principales de Duqu se instalan automáticamente en el sistema.

Una vez que Duqu está cómodo, busca los contactos en los clientes de correo de Outlook o Mozilla Thunderbird y se reenvía en forma de .doc a los contactos de la persona. Como el correo viene de una fuente conocida, tiene más probabilidades de que alguien caiga y abra el documento.

Aunque CrySyS logró analizar los archivos usados por Duqu para instalarse, los investigadores advirtieron que esta podría no ser la única forma de propagación del virus. Symantec ya descubrió que Duqu puede transportarse aun sin internet, usando redes internas en empresas y saltando entre máquinas hasta encontrar un equipo que sí tenga acceso a la red.

Duqu está construido sobre la misma base que el virus Stuxnet, apuntando a atacar empresas y no personas, aunque no se sabe todavía cuál es el objetivo del virus. Podría ser interrumpir sistemas de plantas de energía, o bien robar información.

Se ha rumoreado que Estados Unidos e Israel estarían detrás de Stuxnet, para detener los avances nucleares de Irán. Duqu podría ser producto de los mismos creadores de Stuxnet, pero no hay suficientes datos como para confirmarlo. Por mientras, Microsoft ya está trabajando para parchar la vulnerabilidad explotada por Duqu.

Como sea, Duqu viene a seguir una tendencia que comenzó con Stuxnet: un tipo de virus que ya no se preocupa de robar información de cuentas bancarias de personas, sino que apunta a sistemas de operación mayores, con objetivos más oscuros que simplemente obtener dinero.

Link: Duqu worm targets Microsoft  zero day flaw (PCWorld)

 

powered byDisqus