A Stuxnet, para quem não lembra, é uma mistura de botnet com worm que infectou centenas de computadores por meio de pendrives USB desde o ano passado e culminou com a infecção de certos equipamentos especificamente criados para controlar processos industriais no Irã. Essa semana certas empresas de segurança perceberam que ela foi colocada na ativa novamente por meio de uma backdoor, chamada de DuQu, e que e está angariando dados de maneira bem peculiar.

Quando você finalmente parar de rir do nome dado à essa nova ameaça à segurança de computadores, vai se dar conta de que é um assunto relativamente sério. A DuQu é uma nova backdoor criada pelos mesmos autores da Stuxnet, pois só quem tem acesso ao código-fonte do worm original poderia criar o novo worm. Mas ao contrário da Stuxnet, que tinha como alvo os equipamentos de controle de processos industriais, a DuQu faz apenas a captura de dados e as envia para um servidor.

Segundo os especialistas da F-Secure, a maneira como o worm faz isso é bastante curiosa. Como os criadores queriam passar despercebidos, resolveram disfarçar a troca de informações entre computadores infectados com o DuQu e os servidores. Por isso o DuQu envia os dados coletados escondidos no final de uma imagem com nome dsc00001.jpg e por meio de tráfego HTTP, que é bem comum na web. A imagem usada é essa que você vê ao lado e trata-se de uma foto da NASA que mostra a colisão de duas galáxias.

A pessoa (ou organização ou governo, se quiser alimentar teorias conspiratórias) por trás da DuQu por enquanto só está mesmo coletando informações, que podem ser usadas num futuro ataque. Até esse ataque acontecer, no entanto, o máximo que podemos fazer é esperar. E rir um pouco mais do nome desse worm, que recebeu a alcunha de DuQu graças ao prefixo ~DQ de alguns dos seus arquivos.

Fonte: Tecnoblog