Kaspersky Lab eksperti atklājuši vēl vienu trojieša Duqu noslēpumu

Ievietoja: Antra_F @ 2012.03.22 17:38   value('news.bookmark')) { ?> Tweet

Pirms kāda laika Kaspersky Lab vērsās pēc palīdzības pie programmētāju kopienas, lai atrisinātu vienu no sarežģītākajiem uzdevumiem, kas saistīts ar trojieša Duqu pētīšanu, – identificētu trojieša galvenā koda (Payload DLL) bibliotēkā izvietotā nezināmā koda fragmentu. Šis fragments ir daļa no Payload DLL, un pēc upura datora inficēšanas tas atbild par mijiedarbību ar komandserveri (C&C). Antivīrusu speciālisti to nosauca par Duqu Framework.

Izanalizējot no programmētājiem visā pasaulē saņemtās daudzās ziņas, Kaspersky Lab eksperti nonāca pie secinājuma, ka Duqu Framework sastāv no pirmkoda, kas uzrakstīts valodā C un optimizēts, izmantojot Microsoft Visual Studio 2008. Turklāt izstrādē ir izmantots objektorientētais С iestatījums (ОО С). Šāds programmēšanas stils ir raksturīgs lieliem «civilajiem» programmēšanas projektiem un nav sastopams mūsdienu kaitīgajās programmatūrās.

Pagaidām vēl nav noskaidrota precīza atbilde uz jautājumu, kāpēc Duqu Framework ir izmantota OO C, nevis С++, taču, pēc Kaspersky Lab speciālistu domām, ir divi iespējamie iemesli.

* Lielāka kontrole pār kodu. Kad radās valoda C++, daudzi «vecās skolas» programmētāji atteicās no tās izmantošanas netiešās atmiņas pārvaldības un netiešu koda izpildi izraisošo sarežģīto konstrukciju dēļ. ОО С nodrošina stabilāku ietvaru ar mazāku neprognozējamas uzvedības iespēju.

* Augsta saderība. Daudzus gadus nebija vienota visu kompilatoru standarta C++, tāpēc varēja rasties dažādu ražotāju kompilatoru saderības problēmas. Izmantojot valodu C, var rakstīt kodu jebkurai pastāvošajai platformai bez C++ raksturīgajiem ierobežojumiem.

«Mūsu veiktais pētījums, kurā svarīga loma bija mūsu kolēģiem programmētājiem, ļauj pamatoti uzskatīt, ka kodu ir uzrakstījusi pieredzējušu «vecās skolas» izstrādātāju komanda. Viņu mērķis bija izveidot viegli modificējamu un pārnesamu platformu kiberuzbrukumu veikšanai. Šis kods var būt izmantots agrāk, bet pēc tam pārveidots un likts lietā trojietī Duqu,» ir pārliecināts Kaspersky Lab antivīrusu eksperts Igors Sumenkovs. «Šādu metodi parasti izmanto augstas klases profesionālie izstrādātāji, un tā gandrīz nekad nav sastopama parastajās kaitīgajās programmatūrās.»

Kaspersky Lab pateicas visiem, kas deva savu ieguldījumu nezināmā koda noteikšanā. Duqu Framework detalizēta analīze ir pieejama Igora Sumenkova emuāros tīmekļa vietnē www.securelist.com.

Saistītie raksti

• Kaspersky Lab un uzņēmums Seculert atklāj kārtējo kiberspiegu Tuvajos Austrumos
• Surogātpasts 2012. gada jūnijā: MMM «restarts» un tūrisma piedāvājums ar vīrusu
• Drošums dārgāks par naudu: Kaspersky Lab ir noteicis galvenās virtualizācijas priekšrocības
• Kaspersky Lab eksperti konstatējuši saikni starp Flame un Stuxnet
• Arvien vairāk Eiropas uzņēmumu glabā uzņēmējdarbībai svarīgus datus virtuālajās vidēs
• Jevgeņijs Kasperskis atbalsta Eiropas Komisijas iniciatīvu cīņai ar kibernoziedzību
• «Bezķermeņa» bots uzbrūk ziņu resursu apmeklētājiem
• Kā aizsargāt pret kiberuzbrukumiem visu ģimeni
• «Bezmaksas siers» vai kas slēpjas aiz interneta loterijām
• Kaspersky Lab brīdina par jaunu krāpšanas shēmu Facebook
• Rusijanus internetus juzerus: Krievijas interneta lietotāja portrets
• Kaspersky Lab mobilais risinājums aizsargā TAG Heuer viedtālruņus
• Komfortabla virtuālā iepirkšanās
• Bezkontakta krāpšana vai kas slēpjas vkontakte.ru?
• Kaspersky Internet Security 2012 uzvarējusi vecāku kontroles funkciju pārbaudē

Komentāri

#1 sqlnd WWW @ 2012.03.29 14:41

es varu atklāt vel vienu noslēpumu. duqu nevienu neuztrauc izņemot kaspersky.