Dwa tygodnie temu eksperci z Kaspersky Lab zaapelowali do społeczności programistów o pomoc w zidentyfikowaniu nieznanego języka programowania, którego przestępcy użyli do stworzenia tzw. Szkieletu Duqu.

Czytaj więcej: Nieznany język programowania w trojanie Duqu

Po otrzymaniu ogromnej ilości informacji zwrotnych specjaliści z dużym stopniem pewności stwierdzili, że Szkielet Duqu składa się z kodu źródłowego C skompilowanego przy pomocy Microsoft Visual Studio 2008 oraz specjalnych opcji optymalizacji rozmiaru kodu i tzw. rozwinięcia w miejscu wywołania. Kod został napisany przy użyciu niestandardowego rozszerzenia umożliwiającego łączenie programowania obiektowego z językiem C, znanego jako OO C.

Według ekspertów z Kaspersky Lab istnieją dwa sensowne wyjaśnienia, dlaczego w Szkielecie Duqu użyto OO C zamiast C++.

• Większa kontrola nad kodem: Gdy opublikowano C++, wielu programistów ze starej szkoły wolało trzymać się od niego z daleka z powodu braku zaufania do alokacji pamięci oraz innych niejasnych/skomplikowanych cech tego języka, które wymuszają pośrednie wykonanie kodu. OO C zapewnia pewniejszy szkielet z mniejszym ryzykiem nieoczekiwanego zachowania.

• Większa możliwość przenoszenia kodu na inne platformy: około 10-20 lat temu C++ nie był w pełni ustandaryzowany i istniały przypadki, w których kod C++ nie współdziałał z każdym komputerem. Stosowanie języka C zapewnia programistom wysoką uniwersalność, ponieważ napisany w nim program może atakować każdą istniejącą platformę w dowolnym czasie bez ograniczeń, jakie cechują C++.

– Te dwa powody świadczą o tym, że kod został napisany przez zespół doświadczonych programistów ze starej szkoły, którzy chcieli stworzyć niestandardowy szkielet obsługujący wysoce elastyczną i adaptowalną platformę ataków. Kod mógł zostać użyty we wcześniejszych cyberoperacjach, a następnie powtórnie wykorzystany po odpowiedniej modyfikacji, tak aby mógł integrować się z trojanem Duqu – komentuje Igor Sołmenkow, ekspert ds. szkodliwego oprogramowania, Kaspersky Lab. – Jedno jest pewne: takie techniki zwykle są stosowane przez najlepszych twórców oprogramowania i prawie nigdy w dzisiejszym szkodliwym oprogramowaniu.

Czytaj więcej o trojanie Duqu w DI