Kaspersky Lab vs. Duqu

11.04.2012 04:00 | Redakce Chip + Přidat komentář

Kaspersky Lab vs. Duqu | foto: CHIP

Odborníkům společnosti Kaspersky Lab se podařilo identifikovat dosud neznámý programovací jazyk nalezený v Payload DLL trojského koně Duqu.

Struktura hrozby z webu www.securelist.com.

I díky pomoci programátorské komunity zjistili, že Duqu Framework sestává ze zdrojového kódu C kompilovaného v Microsoft Visual Studiu 2008 se speciálními možnostmi optimalizace velikosti kódu a řádkového rozvoje (takzvané inline expansion). Kód byl navíc napsán s upravenou extenzí pro kombinaci objektově orientovaného programování s jazykem C, jež je označována jako „OO C“. Sekce s neznámým kódem, pojmenovaná „Duqu Framework“, tvoří část Payload DLL, jež po infikaci zařízení zajišťovala komunikaci trojského koně s řídicími (C&C) servery. Tento způsob vysoce sofistikovaného programování se spíše než v malwaru uplatňuje v komplexních „civilních“ softwarových projektech. Ačkoli zatím chybí jednoduchá odpověď na otázku, proč byl pro Duqu Framework použit OO C namísto C++, existují dva důvody, které za touto volbou mohly stát:

Lepší kontrola nad kódem: Po uvedení jazyka C++ řada programátorů „ze staré školy“ tuto novinku nepřijala kvůli nedůvěře v přidělování paměti a dalším novým prvkům, které vyvolávají nepřímé spuštění kódu. OO C by tak představoval spolehlivější variantu s menším rizikem nečekaného chování.

Vysoká přenositelnost: Před asi 10 – 12 lety nebyl jazyk C++ plně standardizován a některé C++ kódy tak nemusely být kompatibilní s každým kompilátorem. Použití jazyka C zajišťuje vysokou přenositelnost programu, protože mu umožňuje fungovat na všech existujících platformách bez omezení spojených s jazykem C++.

„Tyto dva důvody nasvědčují tomu, že byl kód napsán týmem zkušených vývojářů „ze staré školy“, jejichž cílem bylo vytvořit speciální framework pro vysoce flexibilní a přizpůsobivý škodlivý software. Kód mohl být již dříve použit při různých kybernetických operacích a nyní pouze nově přizpůsoben potřebám trojského koně Duqu,“ vysvětluje analytik Kaspersky Lab Igor Sumenkov.

Společnost Kaspersky Lab by tímto chtěla poděkovat všem, kteří se na identifikaci neznámého kódu podíleli. Kompletní zpráva o závěrech analýzy, jejímž autorem je Igor Sumenkov, je k dispozici na webu Securelist.com.

Komentáře

* Hvězdičkou jsou označeny povinné informace.

Zajímavosti ze světa IT v e-mailu

Stačí odeslat svoji e-mailovou adresu

Odesláním formuláře souhlasíte se zpracováním svých osobních údajů a užitím pro marketingové účely vydavatelství Burda International CZ s. r. o.

Tipy & triky

Více tipů

Krátké testy

Více testů

Komerční sdělení

Kaspersky Lab vs. Duqu

Komentáře

Zajímavosti ze světa IT v e-mailu

Stačí odeslat svoji e-mailovou adresu

Tip pro Windows 10: jak použít funkci »Bezkontaktní sdílení« pro bezdrátový přenos souborů

Tipy od Motoroly: jak dosáhnout delší výdrže baterie

Tip: Microsoft brzy odstraní nejméně užitečnou složku ve Windows, sami to můžete udělat už nyní

Pořádek v Chromu, Firefoxu a dalších prohlížečích: tři jednoduché tipy pro úklid v browseru

Kaspersky Lab vs. Duqu

Komentáře

Zajímavosti ze světa IT v e-mailu

Stačí odeslat svoji e-mailovou adresu

Tip pro Windows 10: jak použít funkci »Bezkontaktní sdílení« pro bezdrátový přenos souborů

Tipy od Motoroly: jak dosáhnout delší výdrže baterie

Tip: Microsoft brzy odstraní nejméně užitečnou složku ve Windows, sami to můžete udělat už nyní

Pořádek v Chromu, Firefoxu a dalších prohlížečích: tři jednoduché tipy pro úklid v browseru

Voucher