El misterio de Duqu
En primer lugar, nos parece necesario aclarar una confusión respecto a unos archivos y sus nombres relacionados con este incidente. Para poder comprender la situación en toda su amplitud, informamos al lector que nos referimos sólo a dos programas maliciosos (como mínimo): el módulo principal y un keylogger. Todo lo que se ha dicho en las últimas 24 horas sobre las conexiones entre Duqu y Stuxnet se relaciona principalmente con el primero: el módulo principal.El módulo principal consta de tres componentes:
Este segundo programa malicioso, que es esencialmente un keylogger (pero que es capaz de recopilar otro tipo de información), fue detectado en el sistema de uno de los ordenadores cautivos junto al módulo principal mencionado arriba. Debido a ello, además de la habilidad del módulo para descargar otros componentes, se asumió que el módulo principal y el keylogger estaban de alguna manera relacionados. Mientras funciona en un sistema, el keylogger recopila información desde archivos con nombres como ~DQx.tmp. Entonces, el nombre del módulo principal, Duqu, proviene de estos archivos.
Pero en realidad, el código del troyano espía demuestra en parte la conexión entre este programa malicioso y el módulo principal, y probablemente lo descargó el módulo principal en algún momento previo. Pero en cuanto a su funcionalidad, se trata de una aplicación maliciosa independiente capaz de funcionar sin el módulo principal. A su vez, el módulo principal es capaz de funcionar sin el troyano espía. Sin embargo, la conexión entre el keylogger y Stuxnet no es muy obvia, y es por eso que se puede, como máximo, llamarlo nieto de Stuxnet, pero ciertamente no su hijo.
- un controlador que inyecta una DLL en los procesos del sistema;
- una DLL que tiene un módulo adicional y que funciona con el servidor de comando y control; y
- un archivo de configuración.
Este segundo programa malicioso, que es esencialmente un keylogger (pero que es capaz de recopilar otro tipo de información), fue detectado en el sistema de uno de los ordenadores cautivos junto al módulo principal mencionado arriba. Debido a ello, además de la habilidad del módulo para descargar otros componentes, se asumió que el módulo principal y el keylogger estaban de alguna manera relacionados. Mientras funciona en un sistema, el keylogger recopila información desde archivos con nombres como ~DQx.tmp. Entonces, el nombre del módulo principal, Duqu, proviene de estos archivos.
Pero en realidad, el código del troyano espía demuestra en parte la conexión entre este programa malicioso y el módulo principal, y probablemente lo descargó el módulo principal en algún momento previo. Pero en cuanto a su funcionalidad, se trata de una aplicación maliciosa independiente capaz de funcionar sin el módulo principal. A su vez, el módulo principal es capaz de funcionar sin el troyano espía. Sin embargo, la conexión entre el keylogger y Stuxnet no es muy obvia, y es por eso que se puede, como máximo, llamarlo nieto de Stuxnet, pero ciertamente no su hijo.
- Continuar leyendo Parte I en Viruslist
- Continuar leyendo Parte II en Viruslist
- Continuar leyendo Parte III en Viruslist
- Continuar leyendo Parte IV en Viruslist
- Continuar leyendo Parte V en Viruslist
- Continuar leyendo Parte VI en Viruslist
- Continuar leyendo Parte VII en Viruslist
- Continuar leyendo Parte VIII en Viruslist
- Continuar leyendo Parte IX en Viruslist
- Continuar leyendo Parte X en Viruslist
- Duqu al principio se detectó en Irán como "Stars"
- La saga de Duqu continúa: presentamos al Sr. B. Jason y a Dexter, de la televisión
- FAQ sobre Duqu
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!