El Laboratorio de Criptografía y Seguridad de Sistemas (CrySyS) de la Universidad Técnica de Budapest publicó una herramienta de código abierto que puede ser utilizada para detectar versiones activas del gusano
El pasado jueves 10 de noviembre de 2011 Juventud Rebelde publicó el artículo titulado El teclado como un arma, en el que se hace referencia al peligro que representa el programa maligno Duqu.
Justamente un día después el Laboratorio de Criptografía y Seguridad de Sistemas (CrySyS) de la Universidad Técnica de Budapest publicó una herramienta de código abierto que puede ser utilizada para detectar versiones activas del gusano Duqu. La herramienta también detecta vestigios de infecciones anteriores.
Según la información dada a conocer por el sitio Diario Ti, este software puede ser utilizado en PC independientes o en redes completas.
Las aplicaciones se basan en métodos heurísticos y otros basados en listas de firmas de programas malignos. En conjunto, están en condiciones de detectar restos de infecciones, donde los componentes pertenecientes al malware incluso ya hayan sido eliminados del sistema.
Según CrySys, el propósito de las herramientas es detectar distintos tipos de irregularidades e indicadores conocidos que sugieren la presenta de Duqu en el sistema que está siendo analizado.
El laboratorio húngaro recomienda que si un usuario detecta a Duqu, o huellas de este, es importante no sentir pánico. Indican que es altamente relevante asegurar huellas, por lo que recomienda almacenar el material en lugar de borrarlo. Al respecto, admite que para el usuario promedio quizá será necesario conseguir asistencia profesional.
El código fuente de CrySyS Duqu Detector Toolkit puede ser utilizado libremente en herramientas comerciales y no comerciales.
CrySys tuvo un papel altamente relevante en la detección de Duqu. De hecho, fue este laboratorio el que dio a Duqu su nombre. La entidad descubrió que Duqu se ocultaba y propagaba en documentos de Word.
Duqu presenta características muy similares al gusano Stuxnet, detectado el año pasado, por lo que se le ha atribuido la misma autoría.