ЛК: Для разработки Duqu был создан новый язык программирования

image

Теги: Duqu, вирус, уязвимость

Реализованный на новом языке программирования компонент предназначен для обмена информацией между модулем, внедряемым в операционную систему заражаемого ПК, и командными серверами Duqu.

Как сообщает эксперт «Лаборатории Касперского» Игорь Суменков, основной компонент трояна Duqu мог быть написан на неизвестном ранее языке программирования. Данная информация косвенно подтверждает широко распространенное мнение о том, что при создании вируса Duqu, а также ассоциируемого с ним вируса Stuxnet, были привлечены крупные финансовые средства.

Фрагмент кода, привлекший внимание специалистов ЛК, получил название «Фреймворк Duqu». Реализованный на данной платформе Payload DL компонент реализует практически всю его бизнес-логику. Он предназначен для обмена информацией между модулем, внедряемым в операционную систему заражаемого ПК, и командными серверами Duqu.

В ходе изучения троянской программы эксперты проверили около трех десятков языков программирования. «Мы пытаемся распознать его с ноября 2011 г. Мы спросили самых серьезных специалистов-реверсеров в Microsoft, но не нашли языка, который бы создавал подобный код», - говорится в уведомлении ЛК.

По мнению представителей ЛК, язык «был разработан с целью не только затруднить понимание сторонними лицами особенностей операции по кибершпионажу и взаимодействия с командными серверами, но и отделить этот проект от работы других групп, участвовавших в создании Duqu и отвечавших за написание дополнительных элементов вредоносной программы».

Отметим, что впервые о существовании вируса Duqu стало широко известно осенью прошлого года. В то время ряд европейских компаний, часть из которых занимается промышленным производством, обнаружили на своих системах вирусные программы, имеющие сходство с червем Stuxnet, поразившим предприятия Ирана. Для распространения вируса злоумышленники широко используют уязвимости 0-дня. Расследования крупных антивирусных компаний, таких как Symantec и «Лаборатория Касперского» показали, что вирус состоит из двух модулей, один из которых являет собой компонент дроппера, а второй может нести различный функционал.

С публикацией эксперта «Лаборатории Касперского» Игоря Суменкова можно ознакомиться здесь.


comments powered by Disqus