Después de reflexionar sobre las características de este malware, han consultado la base de datos en VirusTotal, buscando referencias sobre Stuxnet para comprobar su evolución. Nos hemos llevado algunas sorpresas.
Por ejemplo, según la base de datos de Virustotal, la primera referencia a Stuxnet viene el 1 de julio de 2009. Sí, 2009 (Stuxnet saltó a los medios en julio de 2010). Pero no es el troyano como tal. Lo que encontraron entonces son las primeras referencias a malware que aprovecha una vulnerabilidad por entonces llamada simplemente por algunos antivirus "Autorun". Solo era detectado por 6 motores. Lo que no sabían, es que esta sería la vulnerabilidad que más tarde se calificaría como CVE-2010-2568, y que permitía a Stuxnet la ejecución de código a través de enlaces LNK. En pocas palabras: esta vulnerabilidad era conocida desde hacía más de un año y, aunque algunos motores la detectaban entonces, no descubrieron que era "nueva". La metieron en el saco de malware genérico que se ejecutaba a través del Autorun. Tuvo que entrar en escena Stuxnet para que se analizase, saliera a la luz y fuera corregida.
Las primeras muestras en aprovechar esta falla vienen desde Vietnam, China y una casa antivirus en el Reino unido en julio de 2009. Se siguen recibiendo muestras durante todo 2009 y 2010, y no es hasta julio de 2010 que es ampliamente reconocida como lo que realmente es. Una muestra real de Stuxnet en nuestra base de datos la encontraron por primera vez el 16 de mayo de 2010. Se trata de un driver que no era detectado entonces por ningún motor. Sigue pasando relativamente desapercibido hasta el 7 de julio, cuando un antivirus lo bautiza como Stuxnet. A partir de ahí recibieron muchas muestras, pero no es hasta finales de julio que es detectado por la mayoría.
El primer ejecutable Stuxnet del que se tiene noticia, se remonta también al 16 de mayo de 2010 y sigue una trayectoria muy similar al driver en nivel de detección.
Durante los últimos 30 días Virustotal ha recibido más de 300 muestras calificadas como Stuxnet, y son detectadas por una media de 31 motores antivirus. Esto no quiere decir que se trate del propio Stuxnet que ataca a plantas nucleares. A partir del descubrimiento de la vulnerabilidad en archivos LNK en julio, muchos otros troyanos comenzaron a incorporar esta vulnerabilidad como método de difusión. Ante la confusión inicial, las casas antivirus comenzaron a llamar Stuxnet a cualquier malware que la explotara, por lo tanto podemos encontrar referencias a Stuxnet en archivos de apenas 100 bytes y en otros de hasta 5 megabytes.
Se cree que es probable que existan otros "Stuxnet" ahora mismo ocultos en sistemas críticos, que compartan las virtudes de este troyano y todavía no hayan salido a la luz.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4384
No hay comentarios:
Publicar un comentario