ЛК: Для разработки Duqu был создан новый язык программирования

image

Теги: Duqu, вирус, уязвимость

Реализованный на новом языке программирования компонент предназначен для обмена информацией между модулем, внедряемым в операционную систему заражаемого ПК, и командными серверами Duqu.

Как сообщает эксперт «Лаборатории Касперского» Игорь Суменков, основной компонент трояна Duqu мог быть написан на неизвестном ранее языке программирования. Данная информация косвенно подтверждает широко распространенное мнение о том, что при создании вируса Duqu, а также ассоциируемого с ним вируса Stuxnet, были привлечены крупные финансовые средства.

Фрагмент кода, привлекший внимание специалистов ЛК, получил название «Фреймворк Duqu». Реализованный на данной платформе Payload DL компонент реализует практически всю его бизнес-логику. Он предназначен для обмена информацией между модулем, внедряемым в операционную систему заражаемого ПК, и командными серверами Duqu.

В ходе изучения троянской программы эксперты проверили около трех десятков языков программирования. «Мы пытаемся распознать его с ноября 2011 г. Мы спросили самых серьезных специалистов-реверсеров в Microsoft, но не нашли языка, который бы создавал подобный код», - говорится в уведомлении ЛК.

По мнению представителей ЛК, язык «был разработан с целью не только затруднить понимание сторонними лицами особенностей операции по кибершпионажу и взаимодействия с командными серверами, но и отделить этот проект от работы других групп, участвовавших в создании Duqu и отвечавших за написание дополнительных элементов вредоносной программы».

Отметим, что впервые о существовании вируса Duqu стало широко известно осенью прошлого года. В то время ряд европейских компаний, часть из которых занимается промышленным производством, обнаружили на своих системах вирусные программы, имеющие сходство с червем Stuxnet, поразившим предприятия Ирана. Для распространения вируса злоумышленники широко используют уязвимости 0-дня. Расследования крупных антивирусных компаний, таких как Symantec и «Лаборатория Касперского» показали, что вирус состоит из двух модулей, один из которых являет собой компонент дроппера, а второй может нести различный функционал.

С публикацией эксперта «Лаборатории Касперского» Игоря Суменкова можно ознакомиться здесь.


или введите имя

CAPTCHA
мимо иду
11-03-2012 14:52:24
хех >> трех десятков языков программирования с учетом того что языков программирования более 2500 то им еще копать и копать. а если судить по коду то это что то С++ подобное только с измененным компилятором. с учетом их опенсорсного колва а также ряда закрытых проектов пусть ищут.
0 |
Гость
11-03-2012 17:03:32
Интересно бы получить экземпляр для собственных исследований. ТК, скорее всего часть о которой говорится написана на чём-то что хорошо склеивается с другими но является редким например C-- (Си минус минус)
0 |
одепт
11-03-2012 20:11:51
Инопланетяне подкинули на землю
0 |
revers
11-03-2012 20:29:15
а может это быдло код + обфускация. ктото так набыдло кодил что невозможно определить что это за язык програмирования
0 |
гость
11-03-2012 23:12:02
ХАААА точно быдло код
0 |