Zidentyfikowano tajemniczy język występujący w trojanie Duqu

21-03-2012, 09:46

Społeczność programistów pomogła specjalistom w ustaleniu, jakiego języka programowania użyto do napisania funkcji odpowiedzialnych za interakcję trojana Duqu z serwerami kontrolowanymi przez cyberprzestępców. Wiele wskazuje na to, że trojana tego stworzył zespół doświadczonych programistów z tzw. starej szkoły, sceptycznie nastawionych do języka C++.

Dwa tygodnie temu eksperci z Kaspersky Lab zaapelowali do społeczności programistów o pomoc w zidentyfikowaniu nieznanego języka programowania, którego przestępcy użyli do stworzenia tzw. Szkieletu Duqu.

Czytaj więcej: Nieznany język programowania w trojanie Duqu

Po otrzymaniu ogromnej ilości informacji zwrotnych specjaliści z dużym stopniem pewności stwierdzili, że Szkielet Duqu składa się z kodu źródłowego C skompilowanego przy pomocy Microsoft Visual Studio 2008 oraz specjalnych opcji optymalizacji rozmiaru kodu i tzw. rozwinięcia w miejscu wywołania. Kod został napisany przy użyciu niestandardowego rozszerzenia umożliwiającego łączenie programowania obiektowego z językiem C, znanego jako OO C.

Według ekspertów z Kaspersky Lab istnieją dwa sensowne wyjaśnienia, dlaczego w Szkielecie Duqu użyto OO C zamiast C++.

  • Większa kontrola nad kodem: Gdy opublikowano C++, wielu programistów ze starej szkoły wolało trzymać się od niego z daleka z powodu braku zaufania do alokacji pamięci oraz innych niejasnych/skomplikowanych cech tego języka, które wymuszają pośrednie wykonanie kodu. OO C zapewnia pewniejszy szkielet z mniejszym ryzykiem nieoczekiwanego zachowania.
  • Większa możliwość przenoszenia kodu na inne platformy: około 10-20 lat temu C++ nie był w pełni ustandaryzowany i istniały przypadki, w których kod C++ nie współdziałał z każdym komputerem. Stosowanie języka C zapewnia programistom wysoką uniwersalność, ponieważ napisany w nim program może atakować każdą istniejącą platformę w dowolnym czasie bez ograniczeń, jakie cechują C++.

– Te dwa powody świadczą o tym, że kod został napisany przez zespół doświadczonych programistów ze starej szkoły, którzy chcieli stworzyć niestandardowy szkielet obsługujący wysoce elastyczną i adaptowalną platformę ataków. Kod mógł zostać użyty we wcześniejszych cyberoperacjach, a następnie powtórnie wykorzystany po odpowiedniej modyfikacji, tak aby mógł integrować się z trojanem Duqu komentuje Igor Sołmenkow, ekspert ds. szkodliwego oprogramowania, Kaspersky Lab. – Jedno jest pewne: takie techniki zwykle są stosowane przez najlepszych twórców oprogramowania i prawie nigdy w dzisiejszym szkodliwym oprogramowaniu.

Czytaj więcej o trojanie Duqu w DI


Źródło: Kaspersky Lab
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Sierpień 2020»
PoWtŚrCzwPtSbNd
 12
3456789
10111213141516
17181920212223
24252627282930
31