viernes, 11 de noviembre de 2011

Descubridores del gusano Duqu ofrecen herramienta de detección

El Laboratorio de Criptografía y Seguridad de Sistemas (CrySyS) de la Universidad Técnica de Budapest ha publicado una herramienta de código abierto que puede ser utilizada para detectar versiones activas del gusano Duqu. La herramienta también detecta vestigios de infecciones anteriores.


Diario Ti: Las herramientas pueden ser utilizadas en PC independientes o en redes completas.

Las aplicaciones se basan en métodos heurísticos y otros basados en listas de firmas de malware. En conjunto, están en condiciones de detectar restos de infecciones, donde los componentes pertenecientes al malware incluso ya hayan sido eliminados del sistema.

Según CrySys, el propósito de las herramientas es detectar distintos tipos de irregularidades e indicadores conocidos que sugieren la presenta de Duqu en el sistema que está siendo analizado.

La entidad destaca que si un usuario detecta a Duqu, o huellas de éste, es importante no sentir pánico. CrySys indica que es altamente relevante asegurar huellas, por lo que recomienda almacenar el material en lugar de borrarlo. Al respecto, admite que para el usuario promedio quizás será necesario conseguir asistencia profesional.

El código fuente de CrySyS Duqu Detector Toolkit puede ser utilizado libremente en herramientas comerciales y no comerciales.

CrySys tuvo un papel altamente relevante en la detección de Duqu. De hecho, fue el laboratorio húngaro que dio a Duqu su nombre. La entidad descubrió que Duqu se ocultaba y propagaba en documentos de Word.

Duqu presenta características muy similares al gusano Stuxnet, detectado el año pasado, por lo que se le ha atribuido la misma autoría. Al respecto, el experto Mikko Hypponen escribía el 9 de octubre en el blog oficial de F-Secure: "Se ha creado una nueva puerta trasera, por quienes tienen acceso al código fuente de Stuxnet. Este código fuente no está en circulación, y sólo está en manos de los autores originales. Duqu ha sido creado por las mismas personas que programaron Stuxnet".

No hay comentarios:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.