Criadores do Duqu introduziram humor no código nocivo

Análise do malware Duqu revela um chamado “ovo de Páscoa”.

Não obstante a preocupação em torno do Duqu, verifica-se que a peça mais discutida de software malicioso desde o Stuxnet encerra uma pitada de humor ou sarcasmo. Envolvido no código usado para infectar computadores está o que se denomina um “ovo de Páscoa” [“Easter egg” ou mensagem escondida].

Os “ovos de Páscoa” têm sido inseridos em códigos de software, mas muitas vezes apenas quem navega pelo código consegue detectá-los. No Duqu, o código usado para tirar proveito de uma vulnerabilidade de software, contém a frase: “Copyright (c) 2003 Showtime Inc. Todos os direitos reservados DexterRegularDexter..”

A referência à série de televisão “Dexter” pode ser assumida como uma piada. O “shellcode” está contido numa fonte embutida chamada “DexterRegularDexter”, processada pelo motor do Windows, Win32k TrueType, explica Aleks Gostev, analista sénior da equipa de investigação e análise global da Kaspersky Lab.

Na verdade, não há qualquer fonte chamada Dexter, e é apenas um nome atribuído ao ficheiro pelos autores do malware, disse Costin Raiu, director da mesma unidade da Kaspersky. O fabricante e muitas outras empresas de segurança informática têm vindo a analisar o Duqu desde que foi descoberto.

O malware partilha algumas semelhanças com o Stuxnet, malware alegadamente criado com a intenção de prejudicar o programa nuclear iraniano, por adulteração de centrifugadoras usadas para enriquecer urânio. Mas os especialistas permanecem com dúvidas sobre se existe uma ligação entre os programadores das duas peças de software.

A última análise de Gostev é sobre uma versão do Duqu proveniente do CERT (Computer Emergency Response Team) do Sudão, o qual recolheu uma amostra de Duqu de uma organização infectada, mas não identificada. As vítimas do malware são infectadas por um malware introduzido através de um documento falsificado de Word, o qual, se aberto, desencadeia a instalação do Duqu.

A entrada no blogue de Gostev inclui uma imagem do e-mail falsamente proveniente de um gestor de marketing, “Mr. B. Jason”.  A mensagem solicita que o receptor abra um documento do Word e responda a algumas perguntas como “Você fornece navegação marítima?”

Outras pistas sobre o código nocivo têm indicado que o Duqu pode existir já há quatro anos. Um driver carregado pelo Duqu para o núcleo do Windows tem uma data dizendo que foi compilado a 31 de Agosto de 2007, escreve Gostev. Mas isso pode não ser muito preciso, já que o Duqu tem componentes diferentes passíveis de terem sido criadas em épocas diferentes.

Outro dado estranho descoberto pela Kaspersky é  o facto de os ataques ocorrerem às quartas-feiras. “O bando do Duqu tem uma afinidade pelas quartas-feiras”, disse Raiu. “Eles têm repetidamente tentado roubar informações dos sistemas às quartas-feiras. Isso provavelmente indica uma rotina forte, quase militar”.

Os atacantes também tomaram uma série de cautelas, para não serem detectados. Usaram servidores separados de comando e controlo para cada conjunto único de ficheiros.

Também criaram um ficheiro do Word único para cada vítima e enviaram os ficheiros nocivos de e-mail desde contas anónimas, provavelmente com computadores comprometidos, revela Gostev. Mesmo  o “shellcode” foi modificado para os diferentes ataques.

A evidência aponta para um alto nível de sofisticação. “O ‘exploit’ utilizado para infectar vítimas com o Duqu é incrivelmente bem escrito, e em certo sentido, é belo”, disse Raiu. “Os autores do Duqu são programadores de ‘exploits’,  de primeira classe”.



  1. Não entendi um detalhe.. quem é alvo dos ataques? Grandes corporações?

  2. Não necessariamente, pode “infectar” computadores em geral.

Deixe um comentário

O seu email não será publicado