Symantec ha descubierto un nuevo virus con muchas similitudes al virus Stuxnet, que consiguió afectar las instalaciones nucleares de Irán. Este virus ha sido bautizado con el nombre de Duqu debido al prefijo de los archivos que crea: «.DQ».
Según el blog oficial de Symantec, Duqu tiene un código muy similar a Stuxnet, pero con un propósito totalmente diferente.
Duqu es, esencialmente, el precursor de un nuevo ataque del tipo de Stuxnet
El propósito de Duqu, es reunir datos de inteligencia y de los activos de las entidades, como información sobre los fabricantes de sistemas de control industrial, con el objetivo de preparar de manera más fácil un ataque.
Duqu ha sido escrito por las mismas personas que escribieron Stuxnet, o por lo menos, por personas que hayan tenido acceso al código fuente del virus.
Symantec
Este virus utiliza los protocolos HTTP y HTTPS para comunicarse con un servidor C&C (Comando y Control), y está programado para desaparecer del sistema en 36 días. Duqu,al igual que Stuxnet, utiliza un certificado digital privado para probar su atenticidad, en esta ocasión, aparentemente tomado de una compañía taiwanesa.
Symantec ha dicho que fue alertada sobre el virus por «un laboratorio de investigación con grandes conexiones internacionales», pero no ha dado ninguna pista sobre quién dió el aviso porque, según ellos, desean proteger la identidad de la organización en cuestión.
Un empleado de Symantec citado por el diario The New York Times añadió que desde que recibieron el ejemplo inicial de este virus, les han llegado otras variaciones del programa que, por lo que parece, también amenazaban a fabricantes de equipos de control industrial.
Los archivos clave de este virus son: Infostealer, jminet7.sys, cmi4432.sys, netp191.PNF, cmi4464.PNF, netp192.pnf,cmi4432.pnf.
Y si deseas ver el análisis técnico presentado por Symantec haz clic aquí:
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_duqu_the_precursor_to_the_next_stuxnet.pdf
 precursor de Stuxnet){kind=link}