Duqu: o meio-irmão do Stuxnet?

25 out 2011
Notícias de Vírus

A difusão através da Internet de várias versões do programa malicioso Duqu tornou-se na principal notícia dos últimos dias para a indústria da segurança. Isto deve-se em grande parte a algumas semelhanças entre este novo worm agora descoberto e o infame Stuxnet. O que é alarmante desta vez é que o objectivo do Duqu continua a ser uma incógnita.

A Kaspersky Lab confirma que houve outro caso de infecção por parte do Duqu num país da região Noroeste de África. Os analistas da companhia ainda estão a investigar o caso, monitorizando os movimentos e a situação, com o objectivo de determinar as metas geográficas do Duqu. Isto apesar de esta ser uma missão difícil, já que o Duqu está apenas a infectar um número muito reduzido de sistemas extremamente específicos em todo o mundo.

Os analistas da Kaspersky Lab realizaram uma análise exaustiva a este novo malware. As principais conclusões até ao momento apontam para o facto de o Duqu ser um sofisticado Trojan que parece ter sido escrito pelos mesmos autores do worm Stuxnet. O seu principal objectivo é funcionar como uma backdoor nos sistemas que ataca e permitir assim o roubo de informação confidencial. Esta é a principal diferença face ao Stuxnet, que foi especificamente criado para sabotagem industrial. Também é importante destacar que, enquanto o Stuxnet é capaz de se replicar de um computador para o outro, recorrendo a vários mecanismos, o Duqu é um Trojan que não parece conseguir reproduzir-se por si próprio.

O Duqu foi detectado em princípios de Setembro de 2011, quando um utilizador na Hungria carregou um dos componentes do software malicioso no website da Virustotal, que analisa os ficheiros infectados com programas antivírus de diferentes fabricantes (incluindo os da Kaspersky Lab). No entanto, nesta primeira amostra detectada só aparecia um dos diferentes componentes que compõem a totalidade do worm. Um pouco mais tarde, de uma forma semelhante, os analistas da Kaspersky Lab receberem uma amostra de outro módulo do worm, através da Virustotal, e foi concretamente esta análise que permitiu encontrar uma semelhança com o Stuxnet.

Embora existam algumas semelhanças gerais entre os dois worms (Duqu e Stuxnet), também existem diferenças significativas. Pouco depois de encontrar várias versões do Duqu, os especialistas da Kaspersky Lab deram início a uma monitorização em tempo real das suas tentativas de infecção entre os utilizadores da Kaspersky Security Network. O surpreendente foi que, durante as primeiras 24 horas só um sistema foi infectado pelo worm. O Stuxnet, pelo contrário, infectou dezenas de milhares de sistemas em todo o mundo, embora o seu alvo fosse bem específico – os sistemas de controlo industrial utilizados nas centrais nucleares do Irão.

A única infecção do worm detectada entre os utilizadores da Kaspersky Security Network procede de um dos módulos que supostamente compõem o Duqu. Os casos de infecção do segundo módulo, que é, essencialmente, um programa malicioso separado – um Trojan espião – ainda não foram encontrados. É este módulo do Duqu em concreto o que possui a funcionalidade maliciosa, recolhe informação sobre a máquina infectada e regista as teclas pressionadas no teclado.

Alexander Gostev, analista chefe de segurança da Kaspersky Lab, afirma: "Não encontrámos nenhum caso de infecção nos computadores dos nossos clientes com o módulo Trojan-Spy do Duqu. Isto significa que o Duqu pode ter um pequeno número de alvos específicos e que diferentes módulos podem ser utilizados para desenvolver cada um deles".

Um dos mistérios por resolver do Duqu é o seu método inicial de penetração num sistema: o instalador ou o "dropper" necessário não foi ainda encontrado. Continua a procura por este módulo do Duqu, já que residirá nele a resposta para a identificação do alvo final deste programa malicioso. Todas as versões do Duqu são actualmente detectáveis pelos produtos antivírus da Kaspersky Lab.

Acerca da Kaspersky Lab:

Kaspersky Lab é a maior companhia antivírus da Europa. A Kaspersky Lab proporciona uma das protecções mais imediatas do mundo contra ameaças à segurança informática, incluindo vírus, spyware, crimeware, hackers, phishing e correio spam. A companhia está entre os quatro primeiros fabricantes mundiais de soluções de segurança informática para utilizadores finais. Os produtos e soluções da Kaspersky Lab proporcionam um dos tempos de resposta mais rápidos e níveis de detecção mais elevados da indústria, tanto para utilizadores particulares, pequenas e médias empresas e grandes corporações, como para ou ambiente informático móvel. A tecnologia da Kaspersky® também está incluída em produtos e serviços de outros criadores de soluções de segurança líderes da indústria informática. Leia mais na nossa página www.kaspersky.pt. Para conhecer as últimas novidades em antivírus, antispyware e outros aspectos e tendências em segurança informática, visite www.securelist.com.

© 1997 - 2014 Kaspersky Lab ZAO.

Todos os direitos reservados.