Kaspersky Lab eksperti atklājuši vēl vienu trojieša Duqu noslēpumu

Pirms kāda laika Kaspersky Lab vērsās pēc palīdzības pie programmētāju kopienas, lai atrisinātu vienu no sarežģītākajiem uzdevumiem, kas saistīts ar trojieša Duqu pētīšanu, – identificētu trojieša galvenā koda (Payload DLL) bibliotēkā izvietotā nezināmā koda fragmentu. Šis fragments ir daļa no Payload DLL, un pēc upura datora inficēšanas tas atbild par mijiedarbību ar komandserveri (C&C). Antivīrusu speciālisti to nosauca par Duqu Framework.

Izanalizējot no programmētājiem visā pasaulē saņemtās daudzās ziņas, Kaspersky Lab eksperti [url=http://www.securelist.com/en/blog/677/The_mystery_of_Duqu_Framework_solved]nonāca pie secinājuma[/url], ka Duqu Framework sastāv no pirmkoda, kas uzrakstīts valodā C un optimizēts, izmantojot Microsoft Visual Studio 2008. Turklāt izstrādē ir izmantots objektorientētais С iestatījums (ОО С). Šāds programmēšanas stils ir raksturīgs lieliem «civilajiem» programmēšanas projektiem un nav sastopams mūsdienu kaitīgajās programmatūrās.

Pagaidām vēl nav noskaidrota precīza atbilde uz jautājumu, kāpēc Duqu Framework ir izmantota OO C, nevis С++, taču, pēc Kaspersky Lab speciālistu domām, ir divi iespējamie iemesli.

* Lielāka kontrole pār kodu. Kad radās valoda C++, daudzi «vecās skolas» programmētāji atteicās no tās izmantošanas netiešās atmiņas pārvaldības un netiešu koda izpildi izraisošo sarežģīto konstrukciju dēļ. ОО С nodrošina stabilāku ietvaru ar mazāku neprognozējamas uzvedības iespēju.

* Augsta saderība. Daudzus gadus nebija vienota visu kompilatoru standarta C++, tāpēc varēja rasties dažādu ražotāju kompilatoru saderības problēmas. Izmantojot valodu C, var rakstīt kodu jebkurai pastāvošajai platformai bez C++ raksturīgajiem ierobežojumiem.

«Mūsu veiktais pētījums, kurā svarīga loma bija mūsu kolēģiem programmētājiem, ļauj pamatoti uzskatīt, ka kodu ir uzrakstījusi pieredzējušu «vecās skolas» izstrādātāju komanda. Viņu mērķis bija izveidot viegli modificējamu un pārnesamu platformu kiberuzbrukumu veikšanai. Šis kods var būt izmantots agrāk, bet pēc tam pārveidots un likts lietā trojietī Duqu,» ir pārliecināts Kaspersky Lab antivīrusu eksperts Igors Sumenkovs. «Šādu metodi parasti izmanto augstas klases profesionālie izstrādātāji, un tā gandrīz nekad nav sastopama parastajās kaitīgajās programmatūrās.»

Kaspersky Lab pateicas visiem, kas deva savu ieguldījumu nezināmā koda noteikšanā. Duqu Framework detalizēta analīze ir pieejama Igora Sumenkova emuāros tīmekļa vietnē [url=http://www.securelist.com]www.securelist.com[/url].

Atbildēt

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti kā *