Universidade lança ferramenta de detecção de Duqu

Você é uma vítima do malware Duqu? Se sim, procure pelo Duqu Detector Toolkit, que foi desenvolvido para detectar até infecções que não estão ativas.

O kit de ferramentas gratuitas vem do CrySyS Lab, na Universidade de Tecnologia e Economia de Budapest, que foi o primeiro grupo a descobrir o Duqu e o identificou a relação entre ele e o Stuxnet, assim como descobriu que um arquivo dropper (instalador) que ofereceu pistas adicionais sobre como o malware teria infectado e se espalhado pelos computadores. Nomtavelmente, o instalador recuperado pelo CrySyS era um documento malicioso do Word (.Doc), embora os pesquisadores de segurança afirmem que o malware pode ter se espalhado por outros meios também. Ao contrário Stuxnet, no entanto, o malware não têm a capacidade de auto-replicar, o que significa que só teria sido usado em ataques altamente segmentados.

A CrySyS afirmou que seu kit, que inclue quarto componentes de comandos executados em linha, que inclui intencionalmente “códigos fontes de programa muito simples e fáceis de analisar… para verificar se não há nenhum backdoor dentro do código malicioso.” Dessa forma, usuários em potencial podem facilmente validar o código-fonte antes de usá-lo em ambientes altamente especializados, como aqueles relacionados à infra-estrutura crítica.

Isso é pertinente uma vez que a pesquisa feita até agora sobre Duqu sugere que o malware foi projetado para espionagem industrial – mais especificamente para roubar projetos de sistemas de controle. Além disso, graças a um exploit incorporado ao malware, ele tem a capacidade de se espalhar para rede de sistemas conectados, mesmo que eles não estejam conectados à internet. Em outras palavras, ele foi projetado para ambientes-alvo altamente sensíveis que não pode ser executa em qualquer software estranho.

CrySyS disse que seu detector toolkit  “combina técnicas de detecção simples de encontrar infecções Duqu em um computador ou em uma rede inteira.” Essas técnicas incluem a digitalização baseada em assinaturas e heurística , que pode “encontrar vestígios de infecções”, mesmo que alguns componentes já existentes. “A intenção por trás das ferramentas é encontrar diferentes tipos de anomalias – por exemplo, os arquivos suspeitos – e indicadores conhecidos da presença de Duqu no computador analisado”, disse CrySyS.

Mas o laboratório alertou que como todas as ferramentas deste tipo, ele pode gerar falsos positivos. “Um único resultado suspeito pode ser apenas um falso positivo. Em qualquer caso, a experiência profissional é necessária para analisar cuidadosamente estes resultados, bem como, e para ter um veredicto final sobre os resultados.”