Red de información TI para profesionales ITMedia NetWork

sábado, 30 de septiembre de 2023
Actualizado a las 7:37


Búsqueda avanzada

Publicidad

Publicidad

Últimas noticias

Trend Micro alerta sobre Duqu, una versión de un próximo Stuxnet

20 Octubre 2011

Compañías y laboratorios de seguridad TI trabajan activamente para prevenir y anular la nueva amenaza tipo Stuxnet que, según un anális de Symantec, tiene un código muy similar a Stuxnet, y probablemente ha sido escrito por los mismos cibercriminales, aunque presenta algunas diferencias como que Duqu no tiene código que sugiera que haya sido desarrollado para acceder a los sistemas SCADA y su carga final parece estar dirigida hacia el robo de información tras la ejecución del malware TROJ_SHADOW.AF .

En concreto, afirma Trend Micro, Duqu está formada por varios componentes, entre ellos el archivo SYS, que se detecta como RTKT_DUQU.A y es el responsable de la activación del malware y de provocar la ejecución de sus otras rutinas. Sin embargo, en base al análisis, el principal objetivo de dichos archivos es establecer una conexión con su servidor C&C.

Se dice que Duqu ha emitido un malware para robar información y que ha sido detectado como TROJ_SHADOW.AF, en los sistemas afectados a través de esta conexión. Además, la compañía de seguridad afirma haber comprobado que estos códigos son muy similares al de Stuxnet.

Tras la ejecución, TROJ_SHADOW.AF enumera los procesos que se estén ejecutando actualmente en el sistema. También comprueba si coincide con alguno de los siguientes procesos relacionados con la seguridad:

  • avp.exe (Kaspersky)
  • Mcshield.exe (McAfee)
  • avguard.exe (Avira)
  • bdagent.exe (Bitdefender)
  • UmxCfg.exe (CA)
  • fsdfwd.exe (F-Secure)
  • rtvscan.exe and ccSvcHst.exe (Symantec)
  • ekrn.exe (ESET)
  • RavMonD.exe (Rising)

Si encuentra alguno de ellos, TROJ_SHADOW.AF lanza el mismo proceso en un estado de suspensión y, después, parchea el código malicioso antes de reanudar la ejecución. Es así como habrá dos procesos antivirus ejecutándose (AV): el primero, que es el original; y el segundo, que es el que tiene el parche.

TROJ_SHADOW.AF necesita líneas de comandos para ejecutarse correctamente. Los comandos disponibles incluyen la recogida de información en el sistema afectado, la finalización de procesos de malware y la eliminación de sí mismo. Esto permite robar una amplia variedad de información en los sistemas afectados, como por ejemplo:

  • Información del disco como: espacio libre y nombre del dispositivo
  • Imágenes
  • Procesos en ejecución y encargado de procesamiento de solicitudes
  • Información de red como: dirección IP, tabla de enrutamiento IP, TCP ay tabla UDP, tabla de cache DNS, comparticiones locales
  • Carpetas compartidas localmente y usuarios conectados
  • Números de serie de discos extraíbles
  • Nombres de Windows
  • Información sobre los archivos abiertos en el equipo local utilizando NetFileEnum

Trend Micro continua actualizando esta información en el blog para futuros desarrollos, al tiempo que su equipo de investigación sigue  investigando.

La compañía garantiza que las soluciones de Trend Micro protegen contra TROJ_SHADOW.AF y afirma que la funcionalidad Smart Feedback de la infraestructura tecnológica Trend Micro Smart Protection Network  indica que no hay clientes de Trend Micro afectados por esta amenaza y Trend Support no hay recibido ninguna notificación de infección al respecto.

Las soluciones de Trend Micro también han sido actualizadas para ofrecer protección contra las últimas amenazas a través de firmas actualizadas, así como mediante el bloqueo del acceso a los servidores de control maliciosos con Web Reputation Services.

Los usuarios pueden consultar la página Knowledge Base para obtener más información sobre cómo proteger los sistemas frente a esta amenaza.

Más información sobre Duqu en:

Trend Micro continua actualizando esta información en los blogs: http://blog.trendmicro.com y en http://blog.trendmicro.es

ShareThis

Publicidad

Publicidad

Publicidad

Opinión

Brian Foster, vicepresidente de Gestión de Productos de MobileIron

Códigos QR: Una furtiva amenaza a la seguridad

La proliferación de códigos QR, como ‘atajo’ cómodo y sencillo para acceder desde el móvil a informaciones, funciones o webs ha despertado el interés de los ciberdelincuentes convertidos en vía sencilla de difundir malware. Brian Foster, vicepresidente de Gestión de Productos de MobileIron, analiza el fenómeno y señala aspecto a tener en cuenta para protegerse de versiones maliciosas de los códigos QR

techWEEK info

TechWEEK forma parte de la red de información TI para profesionales de IDG Communications.


Sitios especializados de ITMedia NetWork: IT CIO.es, IT PYMES.es, IT SEGURIDAD.es, Strategic Partner, NUEVAempresa.com.

ITMedia NetWork. © 2006 - 2023 Information Technology & Media S.A. (CIF A-84950211). Todos los derechos reservados.

Envío de artículos por email de techWEEK.es

Por favor, introduzca la siguiente información











Cerrar

Envío de artículos por email de techWEEK.es

Procesando envíos...

Envío de artículos por email de techWEEK.es

Email enviado. Cerrar

Envío de artículos por email de techWEEK.es

Error en el envio. Pulse aqui para cerrar.Cerrar